Www.oefa.gob.pe
UNIVERSIDAD PERUANA DE CIENCIAS APLICADASFACULTAD DE INGENIER?A DIVISI?N DE ESTUDIOS PROFESIONALES PARA EJECUTIVOSCARRERA DE INGENIER?A DE SISTEMASMECANISMOS DE SEGURIDAD SEG?N PLATAFORMASINTEGRANTES:U201419444 – CONCEPCI?N TIZA, MIGUEL ANGELU201316403 – OCAMPO, ALEXANDERU201300221 – TABOADA CASAS, PA?L CARLOSU201624697 – FRANCO CUADROS ROSAZZAU201400458 – RUIZ ANDIA, RONNY JAIRU201418929 – RODRIGUEZ CARRE?O, MARIOPROFESOR:HERNANDEZ, YOLFER Lima, agosto de 2017CUADRO DE DIVISI?N DEL TRABAJOAlumnoSubtema seleccionadoConcepción Tiza, Miguel AngelWindows server 2016, Windows Desktop 10Rodríguez Carre?o, MarioComputación cuánticaOcampo Hidalgo, AlexanderDispositivos móviles: Android, iOS, Windows 10 MobileTaboada Casas, Paúl CarlosMainframe: OS390, Z10, AS400Franco Cuadros RosazzaUnix, Linux, AixRuiz Andia, Ronny JairCloud Computing (PaaS, IaaS, SaaS), Web 2.0, 3.0RESUMENEl presente proyecto está centrado en la investigación de mecanismos de seguridad según ciertas plataformas tecnológicas: Windows server 2016, Windows Desktop 10, Computación cuántica, Dispositivos móviles: Android, iOS, Windows 10 Mobile, MAINFRAME: OS390, Z10, AS400, Unix, Linux, Aix y Cloud Computing (PaaS, IaaS, SaaS), Web 2.0, 3.0?NDICE TOC \h \u \z INTRODUCCI?N10CAP?TULO 1: WINDOWS SERVER 2016, WINDOWS DESKTOP 10111. PAGEREF _2et92p0 \h WINDOWS SERVER 2016111.1. PAGEREF _tyjcwt \h Novedades en seguridad111.2. PAGEREF _3dy6vkm \h Máquinas Virtuales Blindadas111.3. PAGEREF _1t3h5sf \h Protección de credenciales de administrador121.4. PAGEREF _4d34og8 \h Device Guard121.5. PAGEREF _2s8eyo1 \h Características avanzadas de auditoría121.6. PAGEREF _17dp8vu \h Contenedores de Hyper-V122. PAGEREF _3rdcrjn \h WINDOWS DESKTOP 10132.1. PAGEREF _26in1rg \h Dispositivos protegidos132.2. PAGEREF _lnxbz9 \h Integridad de los dispositivos132.3. PAGEREF _35nkun2 \h Procesamiento criptográfico142.4. PAGEREF _1ksv4uv \h Virtualización142.5. PAGEREF _44sinio \h Sensores biométricos142.6. PAGEREF _2jxsxqh \h Protección de la identidad152.7. PAGEREF _z337ya \h Microsoft Passport152.8. PAGEREF _3j2qqm3 \h Windows Hello162.9. PAGEREF _1y810tw \h Credential Guard162.10. PAGEREF _4i7ojhp \h Protección de la información172.11. PAGEREF _2xcytpi \h BitLocker y Protección de datos de empresa172.12. PAGEREF _1ci93xb \h Rights Management Services182.13. PAGEREF _3whwml4 \h Resistencia frente a amenazas182.14. PAGEREF _2bn6wsx \h SmartScreen182.15. PAGEREF _qsh70q \h Microsoft Edge e Internet Explorer192.16. PAGEREF _3as4poj \h Device Guard192.17. PAGEREF _1pxezwc \h Windows Defender202.18. PAGEREF _49x2ik5 \h Protección contra amenazas avanzada de Windows Defender212.19. PAGEREF _2p2csry \h Arranque seguro212.20. PAGEREF _147n2zr \h Atestación del estado del dispositivo y acceso condicional22CAP?TULO 2: COMPUTACI?N CU?NTICA233. PAGEREF _23ckvvd \h Introducción234. PAGEREF _ihv636 \h Computación Cuántica235. PAGEREF _32hioqz \h Unidad de información: Qubit256. PAGEREF _1hmsyys \h Mecanismos de seguridad257. PAGEREF _41mghml \h Conclusiones25CAP?TULO 3: DISPOSITIVOS M?VILES268. PAGEREF _vx1227 \h ANDROID268.1. PAGEREF _3fwokq0 \h Arquitectura27 HYPERLINK \l "_1v1yuxt" \h 8.2. PAGEREF _1v1yuxt \h Mecanismos de seguridad específicos288.3. PAGEREF _4f1mdlm \h Permisos de aplicación288.4. PAGEREF _2u6wntf \h Encapsulación de componentes308.5. PAGEREF _19c6y18 \h Firma de aplicaciones308.6. PAGEREF _3tbugp1 \h Root (Rooteo)308.7. PAGEREF _28h4qwu \h Google Play Store319. PAGEREF _nmf14n \h IOS329.1. PAGEREF _37m2jsg \h Arquitectura339.2. PAGEREF _1mrcu09 \h Mecanismos de seguridad349.3. PAGEREF _46r0co2 \h Seguridad del sistema359.4. PAGEREF _2lwamvv \h Cadena de arranque seguro359.5. PAGEREF _111kx3o \h Autorización del software del sistema359.6. PAGEREF _3l18frh \h Secure Enclave369.7. PAGEREF _206ipza \h Touch ID369.8. PAGEREF _4k668n3 \h Encriptación y protección de datos379.9. PAGEREF _2zbgiuw \h Funciones de seguridad de hardware379.10. PAGEREF _1egqt2p \h Protección de datos de archivo379.11. PAGEREF _3ygebqi \h Clases de protección de datos379.12. PAGEREF _2dlolyb \h Complete Protection (NSFileProtectionComplete):379.13. PAGEREF _sqyw64 \h Protected Unless Open (NSFileProtectionCompleteUnlessOpen):389.14. PAGEREF _3cqmetx \h Protected Until First User Authentication389.15. PAGEREF _1rvwp1q \h No Protection (NSFileProtectionNone):389.16. PAGEREF _4bvk7pj \h Protección de datos de llavero389.17. PAGEREF _2r0uhxc \h Certificaciones de seguridad y programas399.18. PAGEREF _1664s55 \h Validación cifrada (FIPS 140-2)399.19. PAGEREF _3q5sasy \h Certificación de Criterios Comunes (ISO 15408)399.20. PAGEREF _25b2l0r \h APPLE ID409.21. PAGEREF _kgcv8k \h Autenticación doble factor409.22. PAGEREF _34g0dwd \h Verificación en dos pasos419.23. PAGEREF _1jlao46 \h Mobile Device Management (MDM)419.24. PAGEREF _43ky6rz \h Modo Perdido419.25. PAGEREF _2iq8gzs \h Jailbreak4210. PAGEREF _xvir7l \h APP STORE42CAP?TULO 4: MAINFRAME OS390, Z10, AS400441. PAGEREF _1x0gk37 \h INTRODUCCI?N442. PAGEREF _4h042r0 \h MAINFRAME443. PAGEREF _2w5ecyt \h Industrias que usan Mainframes454. PAGEREF _1baon6m \h Supercomputadoras vs Mainframes455. PAGEREF _3vac5uf \h Caracteristicas de los Sistemas Mainframe465.1. PAGEREF _2afmg28 \h RAS (Confiabilidad, Disponibilidad, Servicio)465.1.1. PAGEREF _pkwqa1 \h Confiabilidad465.1.2. PAGEREF _39kk8xu \h Disponibilidad465.1.3. PAGEREF _1opuj5n \h Servicio465.2. PAGEREF _48pi1tg \h Seguridad.465.3. PAGEREF _2nusc19 \h Escalabilidad.465.4. PAGEREF _1302m92 \h Control Centralizado.475.5. PAGEREF _3mzq4wv \h Manejo de Cargas de Trabajo.475.5.1. PAGEREF _2250f4o \h Procesamiento por lotes Batch:475.5.2. PAGEREF _haapch \h Procesamiento de transacciones Online:485.6. PAGEREF _319y80a \h Particionado/Virtualización.495.7. PAGEREF _1gf8i83 \h Compatibilidad Continua.495.8. PAGEREF _40ew0vw \h Arquitectura Evolutiva.496. PAGEREF _2fk6b3p \h Roles en el mundo Mainframe506.1. PAGEREF _upglbi \h Programador de Sistema506.2. PAGEREF _3ep43zb \h Administrador de Sistema506.3. PAGEREF _1tuee74 \h Desarrollador de Aplicacion506.4. PAGEREF _4du1wux \h Analista de Control de Producción.506.5. PAGEREF _2szc72q \h Operador de Sistema507. PAGEREF _184mhaj \h Sistemas Operativos para Macrocomputadoras517.1. PAGEREF _3s49zyc \h IBM i517.2. PAGEREF _279ka65 \h Linux para System z517.3. PAGEREF _meukdy \h Unix517.4. PAGEREF _36ei31r \h z/OS517.5. PAGEREF _1ljsd9k \h z/TPF517.6. PAGEREF _45jfvxd \h z/VM517.7. PAGEREF _2koq656 \h z/VSE528. PAGEREF _zu0gcz \h Evolución arquitecturas IBM529. PAGEREF _3jtnz0s \h zSeries539.1. PAGEREF _1yyy98l \h Z/Architecture539.2. PAGEREF _4iylrwe \h z/105310. PAGEREF _2y3w247 \h OS/3905310.1. PAGEREF _1d96cc0 \h Hechos Históricos5410.2. PAGEREF _3x8tuzt \h Características Principales5411. PAGEREF _2ce457m \h z/OS5411.1. PAGEREF _rjefff \h Sistemas soportados por z/OS5511.2. PAGEREF _3bj1y38 \h Seguridad en z/OS5512. PAGEREF _1qoc8b1 \h AS/4005612.1. PAGEREF _4anzqyu \h Cualidades5612.2. PAGEREF _2pta16n \h Arquitectura AS/4005612.3. PAGEREF _14ykbeg \h OS/4005613. PAGEREF _3oy7u29 \h Servicios de Seguridad e Infraestructura5714. PAGEREF _243i4a2 \h RACF5815. PAGEREF _j8sehv \h Tivoli zSecure Manager for RACF z/VM5915.1. PAGEREF _338fx5o \h Cifrado de discos6015.2. PAGEREF _1idq7dh \h Cifrado de cintas6015.3. PAGEREF _42ddq1a \h Servidor Secure Sockets Layer (SSL)6015.4. PAGEREF _2hio093 \h Aceleración criptográfica6115.5. PAGEREF _wnyagw \h Certificación según la norma de criterios comunes6115.6. PAGEREF _3gnlt4p \h Interconexión con z/VM6115.6.1. PAGEREF _1vsw3ci \h LANs huésped6115.6.2. PAGEREF _4fsjm0b \h VSWITCH6215.7. PAGEREF _2uxtw84 \h Virtualización de redes z/VM6316. PAGEREF _1a346fx \h RESUMEN64CAP?TULO 5: UNIX, LINUX, AIX655.1 Introducción655.2 Marco Teórico665.2.1 PAGEREF _38czs75 \h UNIX665.2.2 PAGEREF _1nia2ey \h Linux685.2.3 PAGEREF _47hxl2r \h AIX705.4 Seguridad en UNIX705.5 PAGEREF _11si5id \h Sistema de archivos715.6 PAGEREF _3ls5o66 \h Permisos en UNIX725.7 PAGEREF _20xfydz \h Encriptación de archivos735.8 PAGEREF _4kx3h1s \h Perfil de superusuario.735.9 PAGEREF _302dr9l \h Malware en Linux755.10 PAGEREF _1f7o1he \h Conclusiones76CAP?TULO 6: CLOUD COMPUTING776 PAGEREF _2eclud0 \h Características777 PAGEREF _thw4kt \h Modelo de Servicio SaaS (Software como un Servicio)788 PAGEREF _3dhjn8m \h Modelo de servicio IaaS (Infraestructura como Servicio)789 PAGEREF _1smtxgf \h Modelo de servicio PaaS (Plataforma como Servicio)7910 PAGEREF _4cmhg48 \h CONCLUSI?N80BIBLIOGRAF?A85INTRODUCCI?NExisten muchas definiciones del término seguridad. Simplificando, se puede definir la seguridad como la "Característica que indica que un sistema está libre de todo peligro, da?o o riesgo." Villalón (2007).En toda actividad se hace necesario, no solo planear y ejecutar las actividades, sino efectuar procedimientos de control que vayan encaminados a asegurar que dichas actividades han sido ejecutadas de acuerdo a los parámetros que se habían establecido con anterioridad.Es por ello, que para Evaluar la seguridad de los sistemas de información se requiere que en las diferentes fases del ciclo de vida de los sistemas de información, se planteen protocolos claros que permitan lograr un buen nivel de calidad en el software.Para el dise?o de estos mecanismos de seguridad y control, debe ir de la mano la seguridad informática, es por ello que en este tema conoceremos varias plataformas de tecnologías y conceptos claves de seguridad, para manejar correctamente el entorno donde se lleva a cabo la manipulación de la información y para evitar caer en la “inseguridad informática”. CAP?TULO 1: WINDOWS SERVER 2016, WINDOWS DESKTOP 10MARCO TE?RICOWINDOWS SERVER 2016En el nuevo Windows Server 2016 han a?adido varias medidas de seguridad de las cuales nos vamos a quedar con estas cinco por ser las más interesantes:Novedades en seguridadMáquinas virtuales blindadasProtección de credenciales de administradorDevice GuardCaracterísticas Avanzadas de AuditoríaContenedoresMáquinas Virtuales BlindadasHasta ahora en los sistemas operativos de Microsoft era muy simple para un administrador de sistemas acceder a los datos de las máquinas virtuales de Hyper-V o incluso exportarlas y poder llevarse el servidor completo para montarlo en otro sistema con Hyper-V. En Windows Server 2016 han a?adido dos características que evitan la posible fuga de información en caso de que exista un administrador malicioso. Son las siguientes:Ejecución de la VM en la infraestructura designadaProtección de VMs frente a administradoresEsto nos ofrece varias ventajas, ya que el cifrado del disco y del estado de la VM no va a permitir el acceso por parte del administrador, además con el nuevo servicio de host guardian no se puede ejecutar una VM en un host que no cumpla los requisitos establecidos para ello.Protección de credenciales de administradorCon esta nueva protección vamos a evitar el uso de las credenciales de administrador en ataques de escala de privilegios en los que el atacante utilice algún malware como Mimikatz ya que si tenemos la protección activa las credenciales utilizadas en el sistema operativo se almacenarán encriptadas y no podrán ser utilizadas por el atacante.Esta protección también es útil para los accesos por terminal server a nuestros equipos, ya que también se protegen dichas conexiones.Device GuardCon el nuevo sistema de Device Guard podemos proteger el sistema de la ejecución de aplicaciones que no estén permitas según la política definida en el sistema. Se puede configurar de modo que solo genere avisos en el visor de eventos cuando se ejecute una aplicación no registrada o incluso para que las bloquee y no permita la ejecución de las aplicaciones.Es bastante simple de configurar con varios comandos de PowerShell, aunque la herramienta perfecta para gestionarlo es el Operations Manager de la Suite de System Center con la que de forma mucho más visual podemos revisar las aplicaciones permitidas en cada sistema.Características avanzadas de auditoríaEn combinación con la Suite de Operations Manager, Windows Server 2016 nos permite centralizar todos los logs del visor de eventos de nuestros sistemas a modo de servidor de Syslog centralizado y tener así una visión en tiempo real de lo que está ocurriendo en nuestros servidores.La ventaja que nos ofrece es que al contrario que otras soluciones está completamente integrado con el sistema y es muy visual y configurable.Contenedores de Hyper-VEn esta nueva versión del sistema operativo de servidores de Microsoft no solo nos ofrecen el uso y configuración de contenedores (dockers) que ya habíamos visto en otras plataformas, sino que además nos ofrece la capa de aislamiento adicional previamente reservado a máquinas físicas o virtuales completamente dedicadas con Hyper-V.WINDOWS DESKTOP 10Windows 10, ha hechos cambios estructurales importantes en su plataforma, muchos de los cuales abordan las tácticas usadas en los ataques informáticos. Estos cambios no son solo medidas defensivas que presentan muros más altos a los atacantes; son mejoras que arruinan las tácticas críticas usadas en los ataques, en algunos casos completamente. Para lograr este objetivo, Windows 10 aprovecha al máximo las innovadoras tecnologías de hardware con el fin de proteger las identidades de los usuarios, la información y los dispositivos frente a la piratería y las amenazas de malware.Dispositivos protegidosWindows 7 emprendió medidas importantes para ayudar a sus clientes a estar mejor protegidos, pero la realidad es que en algunos casos solo pudieron dificultar el paso a los atacantes. Para abordar de una vez por todos los desafíos de seguridad a los que se enfrenta, Windows necesitaba aprovechar las nuevas tecnologías de hardware que acaban de incorporarse en los dispositivos modernos. Gracias a estas tecnologías más persuasivas, Microsoft ha tenido la oportunidad en Windows 10 de hacer cambios estructurales importantes en la plataforma.Integridad de los dispositivosLa lucha contra el malware y la piratería requiere la capacidad de mantener la integridad del proceso de arranque del hardware y del sistema operativo. Hasta Windows 8, esto resultó ser un gran desafío. El malware de arranque y los rootkit podían infectar el dispositivo antes de que alguna de las defensas del sistema pudiera iniciarse, lo que hacía inservibles estas defensas. Los dispositivos más recientes o certificados para Windows 8 incluyen un nuevo componente de hardware denominado Arranque seguro UEFI, que ayuda a mantener la integridad del firmware del sistema y del sistema operativo desde que se enciende hasta que se apaga.Procesamiento criptográficoEn un mundo en el que tenemos que asumir que es muy probable que se produzca una filtración de datos, necesitamos hardware que nos ayude a proporcionar el mayor grado de seguridad cuando se trata de proteger información altamente confidencial como las claves de cifrado y las identidades de los usuarios. Windows usa la tecnología basada en los estándares en un Módulo de plataforma segura (TPM) para generar este tipo de información. Realiza las operaciones en un entorno basado en hardware que está aislado del sistema operativo. Windows 10 también puede usar un TPM como un medio de verificar que las funciones de integridad y seguridad de los dispositivos, como UEFI y Arranque seguro, entre otras, se encuentran en el estado deseado y no han sido manipuladas. Esto convierte al TPM de Windows 10 en una herramienta útil para la atestación remota del estado y para escenarios de acceso condicional. Este módulo está cada vez más extendido en los dispositivos comerciales y para particulares, y se ha convertido en un estándar internacional que se puede usar en países como China y Rusia, en los que anteriormente existían restricciones sobre su uso.VirtualizaciónLa seguridad y el aislamiento basados en hardware son esenciales en nuestra estrategia de seguridad de la plataforma. Con Windows 10, usamos tecnologías de virtualización que anteriormente solo se empleaban en escenarios de servidor Windows. Su uso en el cliente proporciona un nivel de protección sin precedentes. Gracias a la seguridad basada en la virtualización (VBS) con tecnología de hipervisor, podemos mover algunos de los procesos Windows más delicados a un entorno de ejecución seguro para ayudar a impedir la manipulación y cuando está en peligro la seguridad del kernel de Windows. En Windows 10, VBS incorpora características como Device Guard y Credential Guard, que tienen un alto efecto disuasorio sobre el malware, las herramientas de piratería y las filtraciones de datos.Sensores biométricosLa biometría ha estado disponible en la plataforma y dispositivos Windows durante generaciones, pero hasta Windows 10 era simplemente una característica que ofrecía comodidad. Su uso de un nombre de usuario y contrase?a en la trastienda proporcionaba simplemente a los usuarios una forma más personal de iniciar sesión, y nunca se alcanzó el potencial de autenticación que podía ofrecer la biometría. Todo eso ha cambiado con Windows 10 y la distribución de Microsoft Passport y Windows Hello. Estas tecnologías de clase empresarial proporcionan capacidades robustas de autenticación multifactor similares a las de las tarjetas inteligentes, pero son más flexibles a la hora de aprovechar las tecnologías de biometría basadas en el reconocimiento de la huella dactilar, facial y del iris.Los dispositivos Windows existentes con sensores biométricos de la huella dactilar y faciales como Intel? RealSense? Technology pueden aprovechar ya mismo todas las ventajas que ofrecen Microsoft Passport y Windows Hello. Una línea completa de nuevos dispositivos de los OEM tanto para particulares como para usuarios de empresa generalizará el uso de la biometría en Windows.Protección de la identidadCuando hablamos de filtraciones en la red, el robo de las credenciales y el malware —y muchas veces una combinación de ambos— son a menudo esenciales para el éxito de los hackers. Si no ataja las vías de ataque en ambas áreas, a los atacantes les resultará cada vez más sencillo aprovecharse de sus vulnerabilidades.Cuando se trata de proteger la identidad, lo primero que debe hacer es cambiar sus técnicas de acreditación de usuarios de opciones de un solo factor como las contrase?as a soluciones multifactor. En segundo lugar, las credenciales derivadas que usará para el inicio de sesión único deben estar protegidas con soluciones basadas en hardware, que hasta Windows 10 no han estado disponibles en el mercado.Windows 10 proporciona soluciones de protección de la identidad que son fáciles de usar, implementar y administrar. Es muy raro que las soluciones de seguridad decisivas incorporen estos atributos, pero con Microsoft Passport, Windows Hello y Credential Guard puede disfrutar de todos ellos.Microsoft PassportNo es un secreto que la autenticación de un solo factor ya no sirve, y que las contrase?as son inaceptables porque ahora pueden ser objeto de phishing, adivinarse y robarse fácilmente. De hecho, una organización delictiva se jactó en 2014 de haber tenido acceso a 1.200 millones de combinaciones de nombres de usuario y contrase?as robados. Piense en ello teniendo en cuenta la cantidad de personas del mundo que tiene conexión a Internet.La solución a este problema es una solución de autenticación multifactor como una tarjeta inteligente, pero dicha solución suele ser muy cara de implementar, difícil de usar y cada vez más incompatible con los dispositivos modernos que queremos usar (por ejemplo, dispositivos ultramóviles o teléfonos). Otro problema es la dependencia con una infraestructura de clave pública (PKI), que a?ade una tremenda complejidad a la solución integral.En Windows 10, abordamos los principales desafíos de las soluciones de identidad multifactor de hoy en día con Microsoft Passport, que comparte con las tarjetas inteligentes todos los mejores atributos, pero sin los inconvenientes. Por ejemplo, con Microsoft Passport puede usar los dispositivos que ya tiene, como su PC o Windows Phone, como uno de los dos factores de la autenticación. No necesita dispositivos adicionales como tokens, tarjetas o lectores. Microsoft Passport se puede usar con una PKI, pero también sin ella, lo que lo convierte en una solución ideal para los particulares, las peque?as y medianas empresas e incluso las grandes corporaciones que desean simplificar los requisitos de infraestructura para las identidades de los usuarios.Windows HelloMicrosoft Passport es su nueva solución de autenticación de doble factor, pero las credenciales que usa solo representan uno de los dos factores que va a necesitar. El otro factor puede ser un PIN o, en dispositivos modernos con sensores biométricos, puede usar la huella dactilar, la cara o incluso el iris como segundo factor. Esta experiencia basada en la biometría se llama Windows Hello.Windows Hello es una forma más personal de iniciar sesión en sus dispositivos Windows 10, aplicaciones y servicios online. Con solo la mirada o el tacto, los usuarios se pueden autenticar y acceder a todo lo que necesitan. A diferencia de muchas soluciones biométricas del pasado, Windows Hello ofrece seguridad de clase empresarial y capacidades antisuplantación para proteger los datos biométricos y la privacidad de los usuarios. Los dispositivos existentes con sensores de huella dactilar pueden funcionar con Windows Hello, y ya hay disponibles en el mercado nuevos dispositivos con tecnología de reconocimiento facial y del iris (como las cámaras de infrarrojos). Todo está listo para que Windows Hello y la autenticación biométrica se generalicen en los dispositivos Windows.Credential GuardMover a los usuarios a una solución de autenticación multifactor como Microsoft es una primera medida esencial para proteger sus identidades. Igualmente importante es proteger las credenciales derivadas de los usuarios, que se usan para el inicio de sesión único. Esta información confidencial puede ser robada y usada para suplantar a una persona sin que se conozca el nombre de usuario y la contrase?a de esa persona ni se tenga acceso al dispositivo multifactor del usuario (por ejemplo, una tarjeta inteligente y un PIN). Todo lo que un atacante necesita es obtener acceso administrativo a un dispositivo, posiblemente aprovechando una vulnerabilidad o usando malware, para iniciar un ataque denominado a menudo "Pass the Hash or Ticket".Antes de Windows 10, se publicaron una serie de funcionalidades que ayudaban a impedir dicho ataque, pero ninguna de ellas era decisiva. Windows 10 cambia todo eso al introducir Credential Guard, que usa la seguridad basada en virtualización (VBS) para aislar las credenciales derivadas del usuario de forma que estén separadas del sistema operativo Windows. De este modo, aunque la seguridad del propio sistema operativo esté en peligro, la información confidencial permanecerá a salvo con el entorno VBS.Protección de la informaciónCuando se trata de la seguridad, todo gira en torno a proteger la información. Sin embargo, incluso una buena solución puede sortearse si no se adopta un enfoque integral. Esto significa que debe tener en cuenta las capacidades de protección de identidad y resistencia frente a las amenazas cuando dise?e su estrategia de protección de la información. Windows 10 incluye nuevas capacidades de gran impacto en cada una de estas áreas. Y cuando llegue el momento de proteger la información, descubrirá que Windows 10 proporciona ahora capacidades que anteriormente tenía que buscar en otros proveedores.Windows lleva mucho tiempo distribuyendo capacidades de protección de la información, y cuando estas se combinan con los servicios de Office 365 como Rights Management Services, los clientes disponen de un amplio conjunto de capacidades. Pero, por supuesto, el término “amplio” en este contexto no es suficiente para el mundo de hoy en día. Por ese motivo, con Windows 10 hemos a?adido nuevas características de protección que le ofrecerán las medidas de protección exhaustivas que necesita para hacer frente al complejo panorama de hoy en día, con programas BYOD, la nube y muchas otras tendencias.BitLocker y Protección de datos de empresaBitLocker es una excelente solución para proteger los datos cuando se pierde o se roba un dispositivo, pero ?cómo proteger los datos de los usuarios que podrían filtrarse accidentalmente? Ahí es donde una funcionalidad totalmente nueva dise?ada para la protección de datos de empresa (EDP) resulta útil, ya que proporciona a las organizaciones separación de datos en el nivel de archivo, contención, control de aplicaciones y protección frente a las filtraciones.A diferencia de muchas soluciones de prevención de pérdida de datos, especialmente las soluciones basadas en contenedor de los dispositivos móviles, EDP ayuda a proteger los datos empresariales dondequiera que se encuentre el dispositivo y sin interrumpir la experiencia del usuario. Las capacidades de EDP están totalmente integradas en la experiencia Windows que los usuarios ya conocen. Les permite seguir usando las aplicaciones que les gusta utilizar en lugar de tener que pasar de un modo a otro o usar aplicaciones solamente para proteger los datos de la empresa. A los usuarios les gustará saber que EDP funciona casi en su totalidad entre bastidores y aun así proporciona pistas visuales sencillas que les ayudan a diferenciar los datos y aplicaciones personales de los de la empresa. También tendrán la seguridad de que EDP les ayudará a evitar que se filtre información confidencial de los documentos y sitios web corporativos cuando se copia y pega por error información en lugares no autorizados como documentos personales o incluso sitios web públicos.Rights Management ServicesLa protección de datos de empresa (EDP) proporciona una base sólida para algunas de las funciones principales de prevención de pérdida de datos que las organizaciones necesitan. Por sí sola, proporciona grandes ventajas; sin embargo, sus capacidades se pueden ampliar con Right Management Services (RMS), incluido en Office 365. Mediante el uso de EDP y RMS, las organizaciones pueden reforzar la protección frente a filtraciones combinando el control de aplicaciones de EDP y su protección contra accidentes básicos de "copia y pega" con los controles de RMS, como la capacidad de impedir que se impriman y reenvíen documentos sin autorización. Asimismo, con Office 365, las organizaciones pueden permitir que los usuarios restrinjan el acceso al correo electrónico y los documentos, y decidir qué personas de la organización, o de fuera de ella, tendrán acceso. Juntas, las capacidades de EDP y de administración de derechos de Office 365 pueden proporcionarle la prevención de pérdida de datos integral que estaba buscando. Y con la interoperabilidad de Windows 10 y Office 365, la implementación de estas capacidades no podría ser más sencilla.Resistencia frente a amenazasEsta semana seguramente se haya enterado de que se han filtrado datos de otra empresa Fortune 500 u organismo gubernamental, así que nunca ha estado tan claro que la batalla contra el malware y las amenazas de los hackers sigue siendo un gran desafío. Estas grandes organizaciones tienen un presupuesto enorme en seguridad, algunos de los mejores talentos y las últimas y mejores tecnologías, y sin embargo siguen produciéndose filtraciones a menudo. La realidad es que la mayoría de las organizaciones luchan esta batalla con una estrategia que no puede triunfar: un enfoque basado únicamente en identificar a "los malos" y mantenerlos a distancia. Este tipo de modelo no se corresponde con un mundo en el que cientos de miles de instancias de malware salen a la luz cada día y en el que el malware polimórfico y "just-in-time" es la nueva norma.Windows 10 se ha dise?ado para impedir el acceso a la industria del malware y la piratería moviendo el campo de batalla a uno completamente nuevo donde el malware y los hackers son más fáciles de derrotar.SmartScreenLa seguridad comienza protegiendo el perímetro exterior, y cuando se conecta a Internet a través de un navegador, cliente de correo u otra aplicación, ese perímetro se pone a prueba a gran escala. Uno de los héroes olvidados de Windows 10 es su tecnología SmartScreen, que se ha dise?ado para mantener las amenazas alejadas de los dispositivos en lugar de tener que borrar sus datos o ponerlos en cuarentena. Eso es exactamente lo que quiere: que las amenazas ni siquiera tengan la oportunidad de acercarse al dispositivo. SmartScreen protege a los usuarios de Edge e Internet Explorer mediante su inteligencia basada en la nube para determinar si un sitio web es seguro antes de proporcionar acceso a los usuarios. Los sitios web malintencionados o sospechosos e incluso las descargas de aplicaciones pueden bloquearse. La misma inteligencia basada en la nube empleada por SmartScreen se usa para la Protección contra amenazas avanzada (ATP) de Office 365, que ayuda a impedir que mensajes de correo electrónico con vínculos y binarios malintencionados lleguen a las bandejas de entrada de los usuarios.Microsoft Edge e Internet ExplorerLa inmensa mayoría de los ataques dirigidos a puntos de enlace usan un navegador (el que sea) para ejecutar el ataque. Los usuarios pueden ser dirigidos de distintas formas a sitios web malintencionados con la intención de aprovechar las vulnerabilidades o enga?arles para que instalen aplicaciones malintencionadas. Cuando usan Microsoft Edge o Internet Explorer, la tecnología SmartScreen puede ayudar a bloquear la mayoría de las amenazas, pero no todas. Por este motivo, Microsoft Edge e Internet Explorer están equipados con un amplio conjunto de tecnologías para defenderse de las amenazas que podrían sufrir los dispositivos. Algunas de las funcionalidades de seguridad con mayor impacto de Edge e Internet Explorer son la tecnología AppContainer, que aísla al navegador del resto del sistema operativo, y técnicas de administración de memoria, que ayudan a evitar la explotación de las vulnerabilidades detectadas. Microsoft Edge también ataja una de las vías de explotación más usadas por los atacantes en el pasado proporcionando un modelo de extensión del navegador más seguro y suprimiendo la compatibilidad con VML, VBScript, barras de herramientas, objetos auxiliares del navegador (BHO) y ActiveX, todos ellos reemplazados por las capacidades de HTML5 y la Web moderna.Device GuardCon el sistema operativo Windows 7, las amenazas se abordaban principalmente mediante software antivirus y otros sistemas basados en la detección. Pero cuando hay cientos de miles de nuevas amenazas cada día, no hay forma de que la comunidad antivirus se mantenga al tanto de las últimas amenazas. Siempre habrá un paciente cero y muchos otros usuarios afectados hasta que alguna persona de la comunidad se dé cuenta y publique una actualización para bloquear la amenaza. También hay amenazas avanzadas persistentes (APT), es decir, ataques en los que las aplicaciones malintencionadas se dise?an a medida para una tarea específica, lo que significa que la comunidad antivirus podría no saber nunca de su existencia. En algunos casos, un ataque se puede realizar sin usar ninguna aplicación malintencionada.La solución a este desafío es redise?ar la estrategia de resistencia frente a las amenazas de manera que se centre en la mitigación de las vulnerabilidades y en el control de las aplicaciones, en lugar de en mecanismos basados en la detección, como defensa principal. La característica Device Guard de Windows 10 se ha dise?ado teniendo en cuenta esta estrategia. Proporciona las capacidades más avanzadas de protección frente a amenazas del día cero y control de aplicaciones que ha ofrecido Windows hasta la fecha. Para proteger el núcleo del sistema (modo kernel), Device Guard usa la seguridad basada en virtualización (VSB) y hardware que ayuda a mitigar de forma contundente la explotación de vulnerabilidades en el núcleo del sistema. Device Guard usa después los controles basados en directivas para impedir que el software no autorizado se puede ejecutar en el dispositivo.Aunque Device Guard representa uno de los planes estratégicos más importantes para abordar las amenazas de malware, no sustituye en su totalidad a las soluciones antimalware tradicionales como Windows Defender. Windows Defender a?ade protección al cubrir amenazas que Device Guard no puede, como los ataques en memoria. Juntas, estas características ayudan a las organizaciones a elevar enormemente el listón de la protección frente a la piratería y el software malintencionado.Windows DefenderWindows Defender es una solución antivirus y antimalware robusta de clase empresarial que se ha mejorado sustancialmente en Windows 10. Entre sus características tenemos:Uso de los servicios en la nube de Windows, el aprendizaje automático y un equipo de investigación de primera clase. Uso actualizado de la base de datos de incidencias de seguridad recolectado por el Windows Malicious Software Removal Tool a nivel mundial.Poco consumo de memoria RAM. Detección de Aplicaciones potencialmente no deseadas (PUA) en el momento de su descarga e instalación.Instalado por defecto en Windows 10.El análisis del sistema de archivos con Windows Defender cuenta con tres opciones:Rápido: buscará malware en los lugares de infección más comunes en el disco duro C:.Completo: escaneará en busca de virus todo el sistema de archivos y los discos duros que haya en nuestra máquina.Personalizado: nos permitirá elegir la unidad o unidades que queramos analizar, así como también en carpetas concretas.Protección contra amenazas avanzada de Windows DefenderWindows 10 es la plataforma empresarial más segura en la actualidad, pero los ciberataques son cada vez más sofisticados al usar ingeniería social, vulnerabilidades de día cero o incluso una configuración incorrecta para abrirse paso por las redes corporativas. Solamente en 2015 se registraron miles de estos ataques.A partir de las defensas de seguridad previas al ataque existentes incorporadas en Windows 10, hemos lanzado un nuevo servicio, Protección contra amenazas avanzada (ATP) de Windows Defender, que proporciona una capa de protección posterior al ataque.Protección contra amenazas avanzada (ATP) de Windows Defender permite a los clientes de Windows Enterprise detectar, investigar y remediar las amenazas persistentes avanzadas y las filtraciones de datos en sus redes. ATP de Windows Defender combina sensores de comportamiento de punto de acceso de Windows de nueva generación con la inteligencia de amenazas basada en la nube de Microsoft, análisis de Machine Learning y personas expertas en detectar amenazas persistentes con medidas de detección y correctivas procesables de los ataques. ATP de Windows Defender, que se ejecuta junto con cualquier solución antivirus, se actualiza continuamente y puede ayudar a reducir los costes.Arranque seguroCuando hablamos de malware, el objetivo de los atacantes es incrustar malware en el nivel más bajo posible del sistema, porque cuanto más profundamente se implemente, mayores privilegios se obtendrán y más probabilidades habrán de eludir la detección. Por este motivo, es esencial mantener la integridad del sistema, especialmente en el núcleo del sistema (por ejemplo, en el proceso de arranque, kernel, controladores y servicios de la plataforma). Windows 10 usa tecnologías basadas en hardware como Arranque seguro UEFI que venían de serie en los dispositivos certificados para Windows 8 para ayudar a proporcionar la raíz de confianza necesaria que ayude a Windows a mantener su integridad e impedir que los bootkits y rootkits pongan en peligro el sistema. La tecnología Arranque seguro UEFI ayudará a garantizar que los componentes basados en firmware de un dispositivo estén protegidos y que el sistema operativo preferido sea lo primero que se inicie en el dispositivo, y no el malware. Una vez que Windows se haya iniciado de forma segura, la función Arranque seguro de Windows ayudará a garantizar que el núcleo del sistema Windows se inicie con integridad, y en el caso de que se detecten anomalías, esta función se recompondrá y restaurará su integridad. Aunque posiblemente no sea la característica más interesante de las medidas de resistencia frente a amenazas, sí es una de las más importantes para la confianza del usuario. La capacidad de que todas las características de seguridad que se ejecutan en Windows realicen su trabajo depende de la integridad del núcleo del sistema, y Arranque seguro UEFI y Arranque seguro de Windows pueden ayudar a garantizarlo.Atestación del estado del dispositivo y acceso condicionalWindows 10 se ha dise?ado para ser el sistema operativo más seguro que hemos lanzado al mercado hasta la fecha, pero la realidad es que mientras existan atacantes tenaces merodeando tendremos que asumir que nuestras defensas del sistema se pondrán a prueba y en algún momento serán atacadas. Bajo ese supuesto, también tenemos que aceptar el hecho de que el estado de salud declarado por un dispositivo ya no tiene validez si este ha sido atacado. O dicho de otro modo: el hecho de que el último análisis de virus no haya detectado nada o de que el firewall parezca que está funcionando no significa que todo vaya bien. Puede ser justo lo contrario.En esta era de amenazas modernas y sumamente evasivas, no podemos confiar en los informes del dispositivo sobre su propio estado de salud, por lo que necesita a?adir la validación remota a su estrategia. Con Windows 10, la integridad del dispositivo se puede validar de forma remota mediante una combinación de servicios en la nube de Windows y un sistema de administración para evaluar los resultados. En 2015, los sistemas de administración de dispositivos móviles (MDM) como Intune incluían esta funcionalidad, que está disponible para que cualquier sistema de administración la implemente. Esta capacidad se usa también para ejecutar servicios de acceso condicional con el fin de que solo los dispositivos en buen estado puedan acceder a los recursos como la VPN corporativa, el correo electrónico y SharePoint.RESUMENREFERENCIAS BIBLIOGR?FICAS 2: COMPUTACI?N CU?NTICAIntroducciónEn este capítulo se explicarán los fundamentos básicos sobre la Computación Cuántica, con la finalidad de comprender los mecanismos de seguridad que plantea este paradigma. Además, se detallará cómo funciona la cuántica en un ordenador que soporte la computación cuántica. Por último, se concluirá con los aspectos fundamentales de este putación CuánticaLa computación cuántica es un paradigma de computación que se basa en la implementación de las leyes cuánticas para realizar los cálculos de la computación clásica en menor tiempo. Utiliza los qubits (semejantes a los bits) con los cuales se pueden abrir nuevas puertas lógicas haciendo posible nuevos algoritmos. De esta forma es que se da apertura a la ejecución de procesos, operaciones lógicas y cálculos que eran imposibles en la computación tradicional.Las computadoras tradicionales codifican la información en bits, los cuales pueden tomar los valores 1 o 0. Por su parte, las computadoras cuánticas, están basadas en qubits (unidad mínima de información en este paradigma) los cuales trabajan bajo los siguientes dos principios de la física cuántica: superposición y enredo.La “superposición” indica que un qubit puede tomar representar los valores de 1 y 0 al mismo tiempo. El “enredo” quiere decir que un qubit con una superposición puede estar correlacionado con otro, lo cual indica que el estado de un qubit puede depender del estado de otro. El uso de estos principios permite que las computadoras cuánticas resuelvan los problemas más difíciles, los cuales son intratables en la computación actual.Unidad de información: QubitUn qubit o cubit es la unidad mínima de información cuántica, el cual entrega valores binarios utilizando como base las leyes cuánticas facilitando el procesamiento de los datos. Si se realiza la comparación con el bit tradicional de la computación se puede observar que mientras el bit devuelve 1 ó 0, el qubit es capaz de brindar 1, 0 y ambos al mismo tiempo.Mecanismos de seguridadTeorema de No ClonaciónEl teorema de no clonación prohíbe la copia (perfecta) del estado (las propiedades) de un sistema cuántico (fotones, electrones, etc.). La única manera de evadirlo es usar el protocolo de teletransporte cuántico, propuesto en 1993 y demostrado en 1997 para la polarización de un fotón. No se teletransportan objetos, se transfieren estados cuánticos. Además, la transferencia de estado no es instantánea. El teletransporte requiere realizar medidas cuánticas y transferir los resultados de dichas medidas mediante un canal de comunicación clásico (cuya velocidad de transferencia está limitada por la velocidad de la luz en el vacío).Criptografía CuánticaLa ventaja de la computación cuántica es que se puede procesar información en menos tiempo debido al uso de las leyes de la cuántica, permitiendo que cualquier encriptación preparada bajo la computación tradicional sea descifrada en corto tiempo.Otro beneficio del uso de la computación cuántica es mejorar la seguridad haciéndola infranqueable.ConclusionesLa computación cuántica permite procesar información en menos tiempo debido al uso de las leyes de la cuántica, permitiendo que cualquier encriptación preparada bajo la computación tradicional sea descifrada en corto tiempo.Otro beneficio del uso de la computación cuántica es mejorar la seguridad haciéndola infranqueable.CAP?TULO 3: DISPOSITIVOS M?VILESNo solamente se puede hablar de seguridad para las pcs de escritorios sino también para los dispositivos móviles y a continuación se listan algunas principales amenazas encontradas (aplicable también para otros equipos): Pérdida de datos Un empleado o hacker teniendo acceso a información sensible desde un dispositivo o red. Esto puede ser involuntario o malicioso y es considerado la mayor amenaza a dispositivos móviles. Ataques Usando ingeniería social Un cyber criminal intenta enga?ar a los usuarios para que revelen información sensible o para que permitan la instalación de malware. Métodos incluyen suplantación de identidad (phishing), suplantación de identidad usando mensajes de texto (SMishing) y ataques específicos. Malware Software malicioso que incluyen virus tradicionales, gusanos informáticos y troyanos (Trojan horse programs). Ejemplos específicos incluyen el gusano informático Ikee, ataques a dispositivos basados en iOS; y Pjapps malware que pueden registrarse en dispositivos Android infectados en una colección de hacker controlados “zombie” dispositivos conocidos como “botnet.” Amenazas a la Integridad de datos Intentos de corromper y modificar datos con el objetivo de interrumpir las operaciones de un peque?o Negocio, Gran Amenaza negocio para tener ganancias financieras. Esto puede ocurrir también involuntariamente. Abuso de Recursos Intentos de mal uso de las redes, dispositivos o recursos de identidad. Ejemplos incluyen envío de correo no deseado desde dispositivos comprometidos o negación de los ataques de servicios usando recursos informáticos desde dispositivos comprometidos. Ataques basados en la web y las redes Lanzados por páginas web maliciosas o sitios comprometidos, estos atacan al navegador en un dispositivo e intentan instalar malware o robar datos confidenciales que fluyen a través del navegador.ANDROIDAndroid es un sistema operativo basado en el núcleo Linux. Fue dise?ado principalmente para dispositivos móviles con pantalla táctil, como teléfonos inteligentes, tabletas y también para relojes inteligentes, televisores y automóviles. Inicialmente fue desarrollado por Android Inc., empresa que Google respaldó económicamente y más tarde, en 2005, compró.Android fue presentado en 2007 junto la fundación del Open Handset Alliance (un consorcio de compa?ías de hardware, software y telecomunicaciones) para avanzar en los estándares abiertos de los dispositivos móviles.ArquitecturaAplicaciones: las aplicaciones base incluyen un cliente de correo electrónico, programa de SMS, calendario, mapas, navegador, contactos y otros. Todas las aplicaciones están escritas en lenguaje de programación Java.Marco de trabajo de aplicaciones: los desarrolladores tienen acceso completo a los mismas API del entorno de trabajo usados por las aplicaciones base. La arquitectura está dise?ada para simplificar la reutilización de componentes; cualquier aplicación puede publicar sus capacidades y cualquier otra aplicación puede luego hacer uso de esas capacidades (sujeto a reglas de seguridad del framework). Este mismo mecanismo permite que los componentes sean reemplazados por el usuario.Bibliotecas: Android incluye un conjunto de bibliotecas de C/C++ usadas por varios componentes del sistema. Estas características se exponen a los desarrolladores a través del marco de trabajo de aplicaciones de Android. Algunas son: System C library (implementación biblioteca C estándar), bibliotecas de medios, bibliotecas de gráficos, 3D y SQLite, entre otras.Runtime de Android: Android incluye un set de bibliotecas base que proporcionan la mayor parte de las funciones disponibles en las bibliotecas base del lenguaje Java. Cada aplicación Android corre su propio proceso, con su propia instancia de la máquina virtual Dalvik. Dalvik ha sido escrito de forma que un dispositivo puede correr múltiples máquinas virtuales de forma eficiente. Dalvik ejecutaba hasta la versión 5.0 archivos en el formato de ejecutable Dalvik (.dex), el cual está optimizado para memoria mínima. La Máquina Virtual está basada en registros y corre clases compiladas por el compilador de Java que han sido transformadas al formato.dex por la herramienta incluida dx. Desde la versión 5.0 utiliza el ART, que compila totalmente al momento de instalación de la aplicación.Núcleo Linux: Android depende de Linux para los servicios base del sistema como seguridad, gestión de memoria, gestión de procesos, pila de red y modelo de controladores. El núcleo también actúa como una capa de abstracción entre el hardware y el resto de la pila de softwareMecanismos de seguridad específicosPermisos de aplicaciónEl corazón de la seguridad en el nivel de aplicación es el sistema de permisos, el cual hace cumplir las restricciones necesarias en cada operación que la aplicación puede realizar. El Package Manager se encarga de otorgar permisos a las aplicaciones en la instalación mientras que el framework de la aplicación se encarga de cumplir los permisos del sistema en la ejecución.Existen alrededor de 100 permisos en Android, los cuales controlan operaciones como: el marcado del teléfono, hacer fotografías, usar Internet, escribir SMS, etc.Cualquier aplicación Android puede declarar permisos adicionales. Para obtener estos permisos, la aplicación debe solicitarlo explícitamente en su manifiesto.Los permisos llevan niveles de protección asociados:Normal. Permisos que no son especialmente peligrosos si se obtienen.Peligrosos (Dangerous). Permisos más peligrosos que los de tipo 1 o normalmente no solicitados por las aplicaciones. Estos permisos necesitan la confirmación por parte del usuario.Firma (Signature). Permisos que solo pueden ser otorgados a otros paquetes que se han firmado con la misma firma que la declarada en el permiso.SignatureOrSystem. Permisos de firma que también se conceden a los paquetes instalados en la imagen del sistema.La asignación del nivel de protección se deja a la voluntad de los desarrolladores. No obstante, las siguientes directrices son útiles a la hora de decidir el nivel de protección de una aplicación. Los permisos “Normal” deben implicar un riesgo menor y servir únicamente como una llamada de atención al usuario para que se dé cuente que la aplicación requiere acceso a una funcionalidad concreta. Los permisos “Dangerous” deben ser usados para operaciones que implican un riesgo mayor. Un equilibrio balanceado debe mantener la diferencia entre estas dos categorías para evitar desclasificar operaciones de riesgo como normales, lo que provocaría la concesión equivocada de privilegios. Mientras que si optamos por declarar todos los permisos como “Dangerous”, es igual de peligroso ya que puede hacer que el usuario ignore la importancia del nivel de protección debido a la falta de contraste.Los permisos de “Signature” están destinados únicamente a las aplicaciones firmadas por el mismo desarrollador.El proceso que siguen los permisos es el siguiente. En la instalación, los permisos requeridos por la aplicación son concedidos basándose en comprobaciones con la firma de las aplicaciones que declaran esos permisos y la interacción con el usuario. Una vez la aplicación se ha instalado y sus permisos han sido concedidos, no se pueden solicitar más permisos. Una operación que no tenga permisos fallará en el momento de su ejecución. Por lo tanto, a la hora de instalar una aplicación, existen dos opciones, confiar en el desarrollador o no confiar en él. En caso de no confiar en él se recomienda no instalar la aplicación ya que no funcionará de forma correcta.Además de proteger las APIs, el mecanismo de permisos debe garantizar la seguridad de varios componentes en una aplicación que son: Activity, Service, Content Provider y Broadcast Receivers. Esto se consigue asociando permisos con el componente relevante en su declaración y en el manifiesto.Una Activity (cualquier pantalla con la que el usuario pueda interactuar) puede especificar una serie de permisos requeridos para cualquier aplicación que desea lanzarla. De forma similar, un Service (estructura de fondo de la aplicación) puede controlar qué aplicaciones están permitidas a enlazarse con él. El Content Provider (encargado de almacenar y compartir datos) define permisos para regular quién tiene autorización para escribir o leer información. Como los permisos de lectura y escritura están definidos de forma individual y no están interconectados, se puede tener buen control sobre el Content Provider.Los permisos sobre los Broadcast Receivers (ejecutados por el sistema en reacción a los Intents) hacen posible controlar qué componentes se pueden recibir. La implicación de estos permisos es tal que cualquier intento de espiar los Intents que están siendo enviados es evitado y cualquier esfuerzo para enviar componentes no autorizados fallará.Encapsulación de componentesLa habilidad de encapsular componentes en una aplicación evita cualquier acceso a ella desde otra aplicación (asumiendo que tiene un ID de usuario distinto).Esto se consigue fundamentalmente definiendo el atributo “exported” del componente. Si este atributo está marcado como false, el componente sólo puede ser accedido por el propietario de la aplicación y por otras aplicaciones que compartan el id de usuario con el atributo “share user-ID”. Si está marcado como true, puede ser invocado por otras aplicaciones externas.Sin embargo, las aplicaciones invocadoras todavía pueden ser controladas con el mecanismo de permisos explicado anteriormente. No obstante, se recomienda marcar este atributo manualmente y no confiar en el comportamiento por defecto del sistema.Firma de aplicacionesCada aplicación en Android está empaquetada en un archivo .apk. Este fichero es similar al estándar Java (.jar). A su vez, el .apk también incluye todos los recursos necesarios como las imágenes. Android requiere que todas las aplicaciones sean firmadas digitalmente. La validez de la firma es correcta mientras que su certificado sea válido y la clave pública adjunta verifique dicha firma.La firma sirve para verificar que dos o más aplicaciones son del mismo propietario. Esta característica es usada por el mecanismo “sharedUserId” y por el mecanismo de permisos (Signature y SignatureOrSystem).Root (Rooteo)Precisamente el rooteo no es un mecanismo de seguridad, en todo caso sería una invitación paralas vulnerabilidades, pero es importante mencionarlo para conocer las ventajas y desventajas del mismo procesoRootear es el proceso de permitir a los usuarios de Smartphone, tablets y otros dispositivos que ejecutan el sistema operativo móvil Android, alcanzar el control privilegiado (conocido como acceso de root) en varios subsistemas Android. Como Android utiliza el núcleo Linux, el Rootear un dispositivo Android da acceso similar a los de administración (Supeusuario) como en Linux o cualquier otro sistema operativo tipo Unix como FreeBSD u OS X.Este proceso no es el 100% fiable (o recomendable) debido a que muchas de las aplicaciones que permite realizar este proceso son creadas por desarrolladores terceros que no sabemos las intenciones que tuvieron al realizar estos aplicativos o mejor dicho no sabemos que es todo lo que instala.Al rootear se adquieren nuevas mejoras en rendimiento del equipo utilizado, funcionalidades que antes estaban “encerradas”. Además, con el nuevo rol “Superusuario” se tiene el control absoluto del dispositivo por lo que se podrán realizar acciones que antes no se permite al usuario normal o regular como: desinstalar aplicaciones que vienen instaladas como predeterminadas por el fabricantes y que en mucho de los casos no son utilizadas, se pueden instalar aplicaciones nuevas que solamente funcionan en dispositivos rooteadas, personalización de mods, administración óptima de la batería, entre otros.Pero, no todo es bueno al rootear tu dispositivo porque al abrir este nuevo mundo también se pierden las actualizaciones de seguridad que se realizan con cierta periodicidad, razón por la cual tu terminal sería más vulnerable a sufrir ataques de seguridad, pérdida de información o simplemente que al finalizar tu equipo no se vuelva a encender.El problema del root además, de los mencionados anteriormente es que al realizar modificaciones de este tipo sobre el dispositivo se pierde la garantia del fabricante porque se descubren ciertos patrones que indican modificaciones como es el caso de Samsung: se dispone de un contador de flasheos el cual indica si el equipo está intacto o no, salido de fábrica este contador esta en 0 y que este contador sea mayor a 0 indica claramente que ha sido modificado de alguna forma.Google Play StoreGoogle Play Store (anteriormente Android Market) es una plataforma de distribución digital de aplicaciones móviles para los dispositivos con sistema operativo Android, así como una tienda en línea desarrollada y operada por Google. Esta plataforma permite a los usuarios navegar y descargar aplicaciones (desarrolladas mediante Android SDK), juegos, música, libros, revistas y películas. También se pueden adquirir dispositivos móviles como ordenadores Chromebook, teléfonos inteligentes Nexus, Google Chromecast, entre otros.Las aplicaciones se encuentran disponibles de forma gratuita, así como también con costo. Pueden ser descargadas directamente desde un dispositivo con Android a través de la aplicación móvil Play Store. Es posible también instalar estas aplicaciones directamente y sin necesidad de una computadora, en dispositivos con sistema operativo BlackBerry 10.Google reportó que en 2015 procedió a escanear 6.000 millones de aplicaciones cada día en busca de elementos potencialmente da?inos (Potential Harmful Apps) detectando 0,15 % de aplicaciones en esta categoría, las cuales fueron desincorporadas de la tienda de aplicaciones. El porcentaje aumenta a 0.5 % cuando se incluyen aplicaciones no instaladas a través de Google Play.Debido a que en a?os anteriores se han detectado muchos malwares tanto en los aplicativos gratis como de pago es que este a?o Google presentó En el pasado Google I/O el proyecto Google Play Protect, una nueva herramienta para proteger a las aplicaciones Android del cada vez más común malware que infecta a millones de móviles en todo el mundo todos los meses. Google Play Protect es una especie de antivirus creado por Google que mantendrá siempre nuestras aplicaciones limpias de software malicioso y que además nos alertará de potenciales amenazas en el día a día del móvil. Vamos a conocer lo sencillo que es activar esta nueva función, que ya tenemos instalada en la mayoría de los móviles Android.Esta característica ha sido insertada automáticamente a la tienda por lo que no estará disponible para su descarga.IOSiOS es un sistema operativo móvil creado por Apple.inc inicialmente desarrollado para el iPhone y posteriormente usado en dispositivos como el iPod Touch, iPad y el Apple TV, todos productos originales de Apple.Este sistema operativo gestiona el hardware del dispositivo en el que se encuentra instalado para implementar aplicaciones nativas. El sistema viene con aplicaciones de aplicaciones como teléfono, correo y navegador Safari que prestan servicios estándar del sistema para el usuario.Entre las características del iOS se encuentran:IOS se deriva del sistema operativo de Mac OS X, que está basado en Darwin BSD, un sistema operativo Unix.Todo en sistema se encuentra en la partición “/root” y ocupa menos de 500MB.La interfaz de usuario de iOS está orientado a: 1. Proveer una interfaz amigable que incluya:La manipulación directa, es decir, al uso de gestos multitáctiles controlados por elementos como deslizadores, interruptores y botones. La interacción con el sistema operativo incluyendo gestos como deslices, toques, pellizcos que el usuario realiza sobre la pantalla para que active una acción. Tienen definiciones diferentes dependiendo del contexto de la interfaz.2. El tiempo de respuesta inmediata a las órdenes del usuario. 3.Dar soporte de acelerómetros internos y giroscopio que funcionan en respuesta ante un movimiento o un gesto para hacer que algunas aplicaciones respondan a sacudir el dispositivo, por ejemplo rotar en tres dimensiones que es un resultado común de cambiar de modo vertical al apaisado o horizontal.Arquitectura1. Cocoa TouchLa capa Cocoa Touch o capa táctil de Cocoa es la interfaz de los dispositivos para con el usuario. Esta capa es una exclusiva interfaz con un dise?o único que está constituida con aplicaciones probadas que comparten muchos patrones que se encuentran en la PC Mac, pero se reconstruyeron con un enfoque especial en el tacto y las interfaces basadas en optimización. La mayoría de estas aplicaciones están basadas en Objetive C.2. Capa MediaConocida también como capa de “medios de comunicaciones”. Es una interfaz basada en una mezcla de lenguaje C y Objetive C que permite la ejecución de tareas o gestión de ficheros multimedia.Esta capa contiene las tecnologías de gráficos, audio y video orientadas a crear la mejor experiencia de multimedia disponible en un dispositivo móvil. Las tecnologías están dise?adas para hacer que las aplicaciones se vean y suenan excelente. Las características de las tecnologías son:Media player: ofrece un fácil acceso a la biblioteca de iTunes del usuario y soporte para reproducción de pistas y listas de reproducción.El framework AV: proporciona un conjunto de fácil de usar interfaz de Objetive-C para el manejo y reproducción de contenido audio visual.El OpenAl: proporciona un conjunto de fácil de usar interfaz de Objetive-C para el manejo de la reproducción de audio y grabación.El Core audio: ofrece dos interfaces simple y sofisticados para reproducir y grabar contenidos de audio, se utilizan para reproducir sonidos de alerta del sistema, provoca la capacidad de hacer vibrar al dispositivo y la gestión de almacenamiento temporal y la reproducción de multi canales locales y contenido de audio streaming.El framework AV: proporciona un conjunto de interfaces de Objective-C para el manejo de la captura y reproducción de películas.Core Media: proporciona interfaces de bajo nivel para la manipulación de los medios de comunicación.3. Core ServicesLa capa Core Services contiene los servicios fundamentales del sistema para las aplicaciones. La llave entre estos servicios son el fundamento y la Fundación marcos básicos que definen los tipos básicos que todas las aplicaciones utilizan. Esta capa también contiene tecnologías individuales para admitir características como la ubicación, iCloud, medios de comunicación social, y la creación de redes.Ejemplo: Servicios Peer-to-PeerAlmacenamiento iCloudObjetos de bloqueProteccion de datosArchivos compartido.Grand Central DispatchSQLite XML SupportMecanismos de seguridadSeguridad del sistemaLa seguridad del sistema se ha dise?ado de modo que tanto el software como el hardware estén protegidos en todos los componentes centrales de los dispositivos iOS. Esto incluye el proceso de arranque, las actualizaciones de software y el coprocesador Secure Enclave. Esta arquitectura es fundamental para la seguridad de iOS y en ningún caso interfiere en la utilización del dispositivo. La estrecha integración del hardware y el software en los dispositivos iOS garantiza que todos los componentes del sistema son de confianza y valida el sistema en su conjunto. Se analizan y aprueban todos los pasos —desde el arranque inicial hasta las actualizaciones del software iOS para apps de terceros— con el fin de garantizar que el hardware y el software funcionan juntos a la perfección y utilizan los recursos correctamente.Cadena de arranque seguroCuando se enciende un dispositivo iOS, el procesador de aplicaciones ejecuta inmediatamente código de la memoria de solo lectura (o ROM de arranque). Este código inmutable, que también se conoce como raíz de confianza de hardware, se establece durante la fabricación del chip y es de confianza implícitamente. El código de la ROM de arranque contiene la clave pública de la entidad emisora de certificados (CA) raíz de Apple, que se utiliza para verificar que el cargador de arranque de bajo nivel (LLB) tiene la firma de Apple antes de permitir que se cargue. Este es el primer paso de la cadena de confianza, en la que cada paso garantiza que el siguiente está firmado por Apple. Cuando el LLB termina sus tareas, verifica y ejecuta el cargador de arranque de la siguiente fase (iBoot), que a su vez verifica y ejecuta el kernel de iOS.Autorización del software del sistemaEl proceso de arranque descrito anteriormente garantiza que en un dispositivo solo se pueda instalar código firmado por Apple. Para evitar la instalación de versiones anteriores que no cuentan con las actualizaciones de seguridad más recientes, iOS utiliza un proceso conocido como autorización del software del sistema. Si fuera posible volver a una versión anterior, un atacante que se hiciera con un dispositivo podría instalar una versión más antigua de iOS para aprovechar una vulnerabilidad corregida en versiones más recientes. En los dispositivos con un procesador A7 o uno posterior de la serie A, el coprocesador Secure Enclave también utiliza el proceso de autorización del software del sistema para garantizar la integridad de su software y evitar la instalación de versiones anteriores. Consulte la sección “Secure Enclave” más abajo.El servidor de autorización coteja la lista de medidas presentada con las versiones cuya instalación se permite y, si encuentra una coincidencia, a?ade el ECID a la medida y firma el resultado. Como parte del proceso de actualización, el servidor envía un conjunto completo de datos firmados al dispositivo. La adición del ECID “personaliza” la autorización para el dispositivo que realiza la solicitud. El servidor solo autoriza y firma las medidas conocidas, de modo que se garantiza que la actualización se lleve a cabo de acuerdo con las especificaciones de Apple. En la evaluación de la cadena de confianza durante el arranque, se verifica que la firma procede de Apple y que la medida del ítem cargado desde el disco —combinada con el ECID del dispositivo— coincide con el contenido de lo firmado.Secure EnclaveEl Secure Enclave es un coprocesador incorporado en el procesador A7 o uno posterior de la serie A de Apple. Utiliza memoria encriptada e incluye un generador hardware de números aleatorios. Proporciona todas las operaciones cifradas para la gestión de claves de protección de datos y mantiene la integridad de la protección de datos, aunque el kernel haya sido comprometido. La comunicación entre el Secure Enclave y el procesador de aplicaciones está aislada en un buzón basado en interrupciones y en memorias intermedias de datos de la memoria compartida. El Secure Enclave ejecuta una versión personalizada por Apple de la familia de microkernels L4, lleva a cabo su propio arranque seguro y se puede actualizar con un proceso de actualización de software personalizado independiente del procesador de aplicaciones.Durante el proceso de fabricación, se proporciona a cada Secure Enclave un identificador único (UID) propio que Apple no conoce y al que otras partes del sistema no tienen acceso. Cuando el dispositivo se enciende, se crea una clave efímera —vinculada a su UID—, que se utiliza para encriptar la parte que ocupa el Secure Enclave en el espacio de la memoria del dispositivo. Además, los datos que el Secure Enclave guarda en el sistema de archivos se encriptan con una clave vinculada al UID y un contador antirreproduccionesEl coprocesador Secure Enclave es el responsable de procesar los datos de huella digital del sensor Touch ID y determinar si coinciden con alguna de las huellas registradas, en cuyo caso permitirá el acceso o las compras en nombre del usuario. La comunicación entre el procesador y el sensor Touch ID tiene lugar a través de un bus de interfaz de periféricos serie. El procesador envía los datos al Secure Enclave, pero no puede leerlos, puesto que están encriptados y se autentican mediante una clave de sesión que se negocia con la clave compartida del dispositivo proporcionada para el sensor Touch ID y el Secure Enclave. En el intercambio de claves de sesión, se utiliza la encapsulación de claves AES y ambas partes proporcionan una clave aleatoria que establece la clave de sesión y que utiliza la encriptación de transporte AES-CCM.Touch IDTouch ID es el sistema de detección de huellas digitales que hace posible un acceso seguro, más rápido y sencillo al dispositivo. Esta tecnología lee los datos de huella digital desde cualquier ángulo y almacena continuamente más información sobre la huella del usuario, ya que el sensor amplía el mapa de huella digital en cada uso al identificar nuevos nodos superpuestos.Encriptación y protección de datosLa cadena de arranque seguro, la firma de código y la seguridad del proceso de ejecución garantizan que, en un dispositivo, solo se puedan ejecutar apps y código que sean de confianza. iOS dispone de otras funciones de encriptación y de protección de datos para proteger los datos del usuario, incluso cuando otras partes de la infraestructura de seguridad están en peligro (por ejemplo, en un dispositivo con modificaciones no autorizadas). Esto ofrece grandes ventajas tanto a los usuarios como a los administradores de TI, puesto que la información personal y corporativa está protegida en todo momento y se proporcionan métodos para un borrado remoto, inmediato y completo, en caso de robo o pérdida del dispositivo.Funciones de seguridad de hardwareEn dispositivos móviles, la velocidad y la eficiencia energética son factores fundamentales. Las operaciones cifradas son complejas y pueden provocar problemas de rendimiento o duración de la batería si no se han tenido en cuenta estas prioridades en las fases de dise?o e implementación. Todos los dispositivos iOS tienen un motor de cifrado AES de 256 bits integrado en la ruta de DMA, entre el almacenamiento flash y la memoria del sistema principal. Esto permite conseguir una encriptación de archivos muy eficiente.Protección de datos de archivoLa protección de datos se implementa mediante la creación y gestión de una jerarquía de claves, y se basa en las tecnologías de encriptación de hardware integradas en cada dispositivo iOS. La protección de datos se controla por archivo, asignando cada archivo a una clase. La accesibilidad se determina en función de si las claves de clase se han desbloqueado o no.Clases de protección de datosComplete Protection (NSFileProtectionComplete):La clave de clase está protegida con una clave creada a partir del código de usuario y el UID del dispositivo. Poco después de que el usuario bloquee un dispositivo (10 segundos, si el ajuste “Solicitar contrase?a” está en “De inmediato”), la clave de clase desencriptada se descarta, de manera que se deja de poder acceder a todos los datos de esta clase hasta que el usuario vuelva a introducir el código o desbloquee el dispositivo con Touch ID.Protected Unless Open (NSFileProtectionCompleteUnlessOpen): Puede que sea necesario escribir algunos archivos mientras el dispositivo está bloqueado. Por ejemplo, al descargar un archivo adjunto de correo en segundo plano. Este comportamiento se consigue con la criptografía de curva elíptica asimétrica (ECDH sobre Curve25519). Las claves por archivo normales están protegidas con una clave obtenida según el acuerdo de claves de Diffie-Hellman de un paso, tal como se describe en la publicación SP 800-56A del NIST.Protected Until First User Authentication (NSFileProtectionCompleteUntilFirstUserAuthentication): Esta clase se comporta del mismo modo que Complete Protection, con la diferencia de que la clave de clase desencriptada no se elimina de la memoria al bloquear el dispositivo. La protección de esta clase tiene propiedades similares a la encriptación de volumen completo de escritorio y protege los datos frente a ataques que impliquen un reinicio. Esta es la clase por omisión para todos los datos de apps de terceros que no tengan una clase de protección de datos asignada por otra vía.No Protection (NSFileProtectionNone): Esta clave de clase solo está protegida con el UID y se guarda en Effaceable Storage. Dado que todas las claves necesarias para desencriptar los archivos de esta clase se almacenan en el dispositivo, la encriptación solo a?ade la ventaja del borrado remoto rápido. Aunque un archivo no tenga asignada una clase de protección de datos, se almacena en formato encriptado (igual que todos los datos de un dispositivo iOS).Protección de datos de llaveroEl llavero se implementa como una base de datos SQLite almacenada en el sistema de archivos. Solo hay una base de datos; el daemon securityd determina a qué ítems del llavero puede acceder cada proceso o app. Las API de Acceso a Llaveros generan llamadas al daemon, que envía una consulta a las autorizaciones “keychain-access-groups”, “application-identifier” y “application-group” de la app. En lugar de limitar el acceso a un solo proceso, los grupos de acceso permiten que los ítems del llavero se compartan entre apps.Los ítems del llavero solo se pueden compartir entre las apps de un mismo desarrollador. Esto se gestiona solicitando a las apps de terceros que utilicen grupos de acceso con un prefijo asignado a través del programa para desarrolladores de Apple (Apple Developer Program) mediante grupos de aplicaciones. El requisito de prefijo y la exclusividad del grupo de aplicaciones se aplican mediante la firma de código, perfiles de datos y el programa para desarrolladores de Apple.Certificaciones de seguridad y programasValidación cifrada (FIPS 140-2) Los módulos cifrados de iOS han sido validados para garantizar su conformidad con las normas del Estándar federal de procesamiento de información de Estados Unidos (FIPS) 140-2 de nivel 1 después de cada lanzamiento desde iOS 6. Los módulos cifrados de iOS 9 son idénticos a los de iOS 8, pero, como con cada lanzamiento, Apple envía los módulos para su revalidación. Este programa valida la integridad de las operaciones cifradas para apps de Apple y de terceros que utilicen correctamente los servicios cifrados de iOS. Certificación de Criterios Comunes (ISO 15408) Apple ya ha iniciado la ampliación de la certificación de iOS según el programa de Certificación de Criterios Comunes (CCC). Las dos primeras certificaciones completadas son VID10695 para iOS 9 relativa al perfil de protección fundamental de dispositivos móviles 2.0 (MDFPP2) y VID10714 relativa al perfil de protección de clientes de VPN IPSecPP1.4 (VPNIPSecPP1.4). Próximamente se completará una certificación activa del protocolo MDM integrado para el perfil de protección EP 2.0 de agentes MDM (MDMAgentEP2). Apple ha asumido una función activa en la Comunidad Técnica Internacional (ITC) para el desarrollo de perfiles de protección (PP) no disponibles actualmente, centrados en la evaluación de tecnología de seguridad móvil clave. Apple continúa evaluando y ampliando certificaciones para versiones nuevas y actualizadas de perfiles de protección disponibles actualmente.APPLE ID El ID de Apple está constituido por el nombre y la contrase?a del usuario necesarios para iniciar sesión en servicios de Apple tales como iCloud, iMessage, FaceTime, iTunes Store, iBooks Store y App Store entre otros. Es importante que el usuario proteja su ID de Apple para evitar que se produzca un acceso no autorizado a sus cuentas. Con el fin de ayudarle a conseguirlo, Apple exige el uso de contrase?as seguras compuestas, al menos, de ocho caracteres que combinen números y letras, que no contengan el mismo carácter repetido más de tres veces de forma consecutiva y que no sean de uso común. Se recomienda a los usuarios que aumenten el grado de protección indicado a?adiendo más caracteres o signos de puntuación para que sus contrase?as resultan aún más seguras. Apple también requiere a los usuarios que configuren tres preguntas de seguridad que se puedan utilizar para ayudar a comprobar la identidad del propietario a la hora de realizar cambios en la información de su cuenta o de restablecer una contrase?a olvidada. Apple también envía mensajes de correo electrónico y notificaciones push a los usuarios cuando se producen cambios importantes en sus cuentas. Por ejemplo, si se ha modificado una contrase?a o la información de facturación, o bien si el ID de Apple se ha utilizado para iniciar sesión en un dispositivo nuevo. Si los usuarios detectan algo que no les resulta familiar, deben cambiar la contrase?a de su ID de Apple inmediatamente. Además, Apple utiliza diversas políticas y procedimientos dise?ados para proteger las cuentas de los usuarios. Entre ellos, se incluyen la limitación del número de veces que se puede intentar iniciar sesión y restablecer la contrase?a, la supervisión activa de fraudes para ayudar a identificar los ataques mientras se están produciendo, y las revisiones periódicas de las políticas que permiten adaptarnos a cualquier información nueva que pueda afectar a la seguridad del cliente.Autenticación doble factorPara ayudar a los usuarios a proteger más sus cuentas, Apple ofrece la autenticación de doble factor. Este sistema de autenticación es una capa adicional de seguridad para los ID de Apple. Está dise?ado para garantizar que solo el propietario de la cuenta pueda acceder a ella, aunque otra persona conozca la contrase?a. Gracias a la autenticación de doble factor, solo se puede acceder a la cuenta de un usuario en dispositivos de confianza, como el iPhone, iPad o Mac del usuario. Para iniciar sesión por primera vez en un dispositivo nuevo, se necesita la contrase?a del ID de Apple y un código de verificación de seis dígitos que se muestra en los dispositivos de confianza del usuario o que se envía a un número de teléfono de confianza automáticamenteVerificación en dos pasosDesde 2013, Apple también ofrece un método de seguridad parecido denominado “verificación en dos pasos”. Con este método activado, la identidad del usuario se debe comprobar mediante un código temporal que se envía a uno de los dispositivos de confianza del usuario antes de permitir que se modifique la información de la cuenta de su ID de Apple; antes de iniciar sesión en iCloud, iMessage, FaceTime y Game Center; o antes de realizar compras en iTunes Store, iBooks Store o App Store desde un dispositivo nuevo. Los usuarios también reciben una clave de recuperación de 14 caracteres que deben guardar en un lugar seguro para usarla en caso de olvidar su contrase?a o perder el acceso a los dispositivos de confianza. Si desea obtener más información sobre la verificación en dos pasos del ID de Apple.Mobile Device Management (MDM)La compatibilidad de iOS con MDM permite que las empresas puedan configurar y gestionar de forma segura la implementación gradual de iPhone y iPad en sus organizaciones. Los recursos MDM se integran en las tecnologías iOS existentes, como los perfiles de configuración, la inscripción remota y el servicio de notificaciones push de Apple (APNs). Por ejemplo, el APNs se utiliza para activar el dispositivo de manera que pueda comunicarse directamente con el servidor MDM a través de una conexión segura. No se transmite información confidencial ni privada a través del APNs. Con ayuda de MDM, los departamentos de TI pueden inscribir dispositivos iOS en un entorno empresarial, configurar los ajustes y actualizarlos mediante una red inalámbrica, supervisar el cumplimiento de políticas corporativas e incluso borrar o bloquear de forma remota los dispositivos gestionados. Si desea obtener más información sobre la gestión de dispositivos móviles.Modo PerdidoSi se pierde un dispositivo o alguien lo roba, un administrador de MDM puede activar el modo Perdido de forma remota en un dispositivo supervisado con iOS 9.3 o posterior. Cuando se activa este modo, se cierra la sesión del usuario activo en ese momento y el dispositivo no se puede desbloquear. En la pantalla, se muestra un mensaje que puede personalizar el administrador, como un número de teléfono al que llamar si alguien encuentra el dispositivo. Cuando se activa el modo Perdido en el dispositivo, el administrador puede solicitar al propio dispositivo que envíe su ubicación en ese momento. Cuando un administrador desactiva el modo Perdido, que es la única forma de salir de este modo, se informa al usuario mediante un mensaje en la pantalla bloqueada y un aviso en la pantalla de inicio.JailbreakPrecisamente el jailbreak no es un mecanismo de seguridad, en todo caso sería una invitación paralas vulnerabilidades, pero es importante mencionarlo para conocer las ventajas y desventajas del mismo proceso.Es el proceso de suprimir algunas de las limitaciones impuestas por Apple en dispositivos que utilicen el sistema operativo iOS mediante el uso de kernels modificados. Tales dispositivos incluyen el iPhone, iPod Touch, iPad y la Apple TV de segunda generación. El jailbreak permite a los usuarios acceder por completo al sistema operativo, permitiendo al usuario descargar aplicaciones, extensiones y temas que no están disponibles a través de la App Store oficial. Un dispositivo con jailbreak todavía puede usar la App Store, iTunes y todas las demás funciones, como hacer llamadas telefónicas. El jailbreak es una forma de escalado de privilegios, y el término se ha usado también con otros sistemas computacionales.A diferencia del proceso de rootear un dispositivo Android, el jailbreak es necesario si el usuario quiere correr software no autorizado por Apple. Un jailbreak "atado" (tethered, en inglés) requiere que el dispositivo esté conectado a un ordenador cada vez que inicie; un jailbreak "sin ataduras" (untethered, su equivalente en inglés) permite al dispositivo encender sin la asistencia de un ordenador. Bajo el Digital Millennium Copyright Act, el proceso de hacer jailbreak es legal en los Estados Unidos, aunque Apple anunció que la práctica puede violar la garantía.El jailbreak no afecta a otras limitaciones impuestas como son la descarga de más de 50/100 megabytes de la Appstore sin conexión WiFi, la imposibilidad de sincronizar más de 5 dispositivos iOS, o no poder compartir una dirección por iMessage. Simplemente lo que consigues con el jailbreak es quitar ciertas limitaciones, como por ejemplo instalar temas en el dispositivo, o modificar la interfaz del mismo.APP STOREApp Store o Mac App Store es un servicio para el iPhone, el iPod Touch, el iPad y Mac OS X Snow Leopard o posterior, creado por Apple Inc, que permite a los usuarios buscar y descargar aplicaciones informáticas de iTunes Store o Mac App Store en el caso de Mac OS X, desarrolladas con el iPhone SDK y publicadas por Apple. Estas aplicaciones están disponibles para ser compradas o bien gratuitas, dependiendo de cada una. Las aplicaciones pueden ser descargadas directamente al iPhone o al iPod Touch por medio de una aplicación del mismo nombre, aunque App Store también está disponible en el interior del programa informático iTunes.Así como para Android se tienen mecanismos de seguridad sobre las aplicaciones mediante el Google Protect, iOS no es la excepción ya que ellos cuentan con la entidad verify.ly, la cual se encarga de escanear las aplicaciones de la App Store y encontrar (si es que existen como en este caso) vulnerabilidades.A pesar de esto, no se garantiza que las apps sean 100% seguras o que no se encuentren brechas de seguridad en el sistema operativo iOS. Después de liberar una nueva versión suelen realizar updates menores que corrigen estas deficiencias encontradas por los atacantes y esto con la finalidad de evitar pérdidas de información, entre otros.ConclusionesDefinitivamente ninguno de los dos sistemas operativos es mejor que el otro.Cada cierto tiempo se realizan mejoras en ambos sistemas operativos para corregir ciertas vulnerabilidades encontradas o en el peor de los casos amenazas que impactan a algún sector de la población mundial.En el caso de iOS se utilizan dispositivos externos para verificar la autenticación exitosa del usuario: como el Id Apple, iCloud, tokens para pagos, etc.Ambas compa?ías que desarrollaron estos sistemas operativos están poniendo cada día mayor esfuerzo, tiempo y dedicación en la protección de los datos y equipos en general.CAP?TULO 4: MAINFRAME OS390, Z10, AS400INTRODUCCI?NTambién conocido como computador central. Computadoras grandes potentes y caras usadas principalmente por grandes compa?ías para el procesamiento de grandes cantidades de datos, por ejemplo, el procesamiento de transacciones bancarias.Término apareció a principios de los setenta con la introducción de ordenadores más peque?os como la serie DEC PDP, que fueron conocidos como miniordenadores, por lo que los usuarios acu?aron el término ordenador central para describir a los tipos de ordenadores más grandes y antiguos.En los días de gloria eran conocidos como IBM y los siete enanitos: Burroughs, Control Data, General Electric, Honeywell, NCR, RCA y Univac.Luego se produjeron los siguientes acontecimientos:RCA fue comprado por Univac GE también abandonó.Honeywell fue comprado por Bull,Univac se unió a Sperry para formar Sperry/Univac, que más tarde se unió con Burroughs para formar Unisys CorporationEn 1991, AT&T poseyó durante un breve tiempo NCR.MAINFRAMEUn Mainframe o Macrocomputador es un sistema de computación utilizado en negocios para almacenar bases de datos comerciales, servidores de transacciones y aplicaciones, que requieren un alto grado de seguridad y disponibilidad que normalmente no se encuentra en máquinas de menor escala. El poder de un mainframe provee velocidad y capacidad de computación, permitiéndole desarrollar grandes volúmenes de procesamiento. Un mainframe puede procesar grandes cantidades de tareas de diferentes tipos y en distintas zonas horarias. Se debe tener en cuenta que la mayoría de las compa?ías de Fortune 1000 usan mainframes, y que el 60% de la información disponible en Internet está almacenada en computadoras mainframe.?Por qué usar mainframes?Procesamiento de transacciones a gran escala, por ejemplo miles de transacciones por segundo.Soporta miles de usuarios y aplicaciones.Acceso simultáneo a los recursos.Terabytes de información en bases de unicaciones de grandes anchos de banda.Industrias que usan MainframesMercados financierosBancosAeroespacial y defensaAutomotrizCiencias de la vida y saludSegurosMedios digitales (digital media)Medios y entretenimientoTelecomunicacionesQuímica y petróleoProductos comestibles (consumer products)EducaciónElectrónicaEnergía y utilidadesViajes y transportesInalámbricoIngenieríaRetailGobiernoSupercomputadoras vs MainframesLas supercomputadoras se centran en los problemas limitados por la velocidad de cálculo mientras que los ordenadores centrales se centran en problemas limitados por los dispositivos de E/S y la fiabilidad.En consecuencia:Los superordenadores suelen explotar paralelismos masivos, a menudo con miles de procesadores, mientras que los ordenadores centrales tienen un solo o un peque?o número de procesadores (como mucho varias docenas).Debido al paralelismo visible al programador, los superordenadores son muy complicados de programar; en los ordenadores centrales, el limitado paralelismo (si existe) está normalmente escondido del programador.Los superordenadores son optimizados para cálculos complicados que tienen lugar sobre todo en la memoria, mientras que los ordenadores centrales son optimizados para cálculos simples que implican grandes cantidades de datos externos a los que se accede desde bases de datos.Los superordenadores suelen dedicarse a la ciencia mientras que los ordenadores centrales suelen dedicarse a las empresas y aplicaciones administrativas del gobierno.Caracteristicas de los Sistemas MainframeRAS (Confiabilidad, Disponibilidad, Servicio)En un Mainframe, los componentes de hardware y software son de alta calidad y tienen la capacidad de auto-diagnóstico y auto-reparación. Aunque alguno de sus componentes falle, un mainframe está el 99,9999% del tiempo disponible.ConfiabilidadSe llevan a cabo extensivos auto-diagnósticos y se cuenta con capacidades de auto-recuperación.DisponibilidadEl sistema se puede recuperar de la caída de uno de sus módulos sin impactar al resto del sistema que se está ejecutando (99,99999%)ServicioEl sistema puede determinar porque ocurrió una falla. Esto permite el reemplazo de elementos del hardware y software sin afectar la operación del sistema.o sabemos uno de los recursos más valiosos de una empresa son sus datos. Estos datos críticos deben ser administrados de forma segura y controlada, y que simultáneamente estén a disposición de usuarios autorizados. El mainframe proporciona un sistema muy seguro para el procesamiento de un gran número de aplicaciones heterogéneas en el acceso de datos críticos.Escalabilidad. Los Mainframes exhiben características de escalabilidad de hardware y software, con la capacidad de ejecutar múltiples copias del software del sistema operativo como una entidad única, a esto se le conoce como Sysplex.Control Centralizado. Manejo de Cargas de Trabajo. Procesamiento por lotes Batch: Son trabajos planificados, que se ejecutan sin la interacción del usuario. Pueden consistir en la ejecución de cientos o miles de Jobs encadenados, siguiendo una secuencia preestablecida. El tiempo de respuesta no es importante (pueden tardar horas en finalizar), ya que son tareas muy pesadas. Se suelen ejecutar por la noche, cuando la CPU está más libre de trabajo. Tienen grandes cantidades de datos (terabytes) tanto de entrada, como de salida para procesar o almacenar información. Ejemplos: copias de seguridad, balances de contabilidad, cierre de cuentas… etc.Procesamiento de transacciones Online: El OLPT (Online Transaction Processing), ocurre con la interacción del usuario. El tiempo de respuesta es muy importante, normalmente, es de menos de un segundo. Estas operaciones mueven peque?as cantidades de datos, tanto de entrada como de salida. Las aplicaciones críticas de una empresa funcionan de este modo, por tanto, la interfaz transaccional para el usuario, debe de estar permanentemente disponible. Ejemplos: sacar dinero de un cajero, reservar un billete de avión, comprar con la tarjeta de crédito… etc.Particionado/Virtualización. Compatibilidad Continua. Arquitectura Evolutiva. Roles en el mundo MainframeProgramador de SistemaSystem Programmer. Instalar, adecuar y mantener el sistema operativo.Administrador de SistemaSystem administrator. Mantiene la información crítica del negocio que reside en el mainframe.Desarrollador de AplicacionApplication developer.Analista de Control de Producción.Production Control Analyst. Cargas de trabajo corren hasta completarse sin error o retardo.Operador de SistemaSystem Operator. Controla la operación del hardware y software del mainframe.Sistemas Operativos para MacrocomputadorasEn los últimos a?os, la empresa IBM ha sido la que ha llevado la batuta en venta de equipos Mainframe, y sus respectivos Sistemas Operativos. Los Mainframes más usados son los de la familia de System z de IBM. Entre los más usados hoy en día se pueden encontrar:IBM iEs un Sistema Operativo basado en EBCDIC que corre en IBM Systems Power y en IBM PureSystems. Es la actual versión del sistema operativo anteriormente denominado i5/OS y originalmente OS/400 cuando se introdujo en los computadores AS/400 en 1988.Linux para System zLinux para System z es el término colectivo para el sistema operativo Linux compilado para correr en Mainframes de IBM, especialmente en máquinas de la familia de System z. Otras denominaciones incluyen Linux en zEntreprise 196, Linux en System z9, Linux en System z10, z/Linux, zLinux, etc.UnixUnix (registrado oficialmente como UNIX?) es un sistema operativo portable, multitarea y multiusuario; desarrollado, en principio, en 1969, por un grupo de empleados de los laboratorios Bell de AT&T, entre los que figuran Ken Thompson, Dennis Ritchie y Douglas McIlroy. El sistema, junto con todos los derechos fueron vendidos por AT&T a Novell, Inc. Esta vendió posteriormente el software a Santa Cruz Operation en 1995, y esta, a su vez, lo revendió a Caldera Software en 2001, empresa que después se convirtió en el grupo SCO. En 2010, y tras una larga batalla legal, ésta ha pasado nuevamente a ser propiedad de Novell.z/OSz/OS es el sistema operativo actual de las computadoras centrales de IBM. Del sistema MVT (de 1967) se pasó al MVS en 1974 a?adiéndole múltiples espacios de memoria virtual, agregándole a éste compatibilidad UNIX se pasó al OS/390 en 1995, y ampliando a éste el direccionamiento de 64 bits se pasó a z/OS en el a?o 2000.z/TPFz/TPF es un sistema operativo en tiempo real, de la empresa IBM para equipos mainframe, para las familias System z9 y zSeries. TPF deriva de “Transaction Processing Facility” (Lugar para procesar transacciones). z/TPF tiene un procesamiento rápido y de alto volumen, para manejar grandes cantidades de transacciones a través de redes distribuidas. El sistema TPF más avanzado puede procesar 10.000 transacciones por segundo.z/VMz/VM es la actual versión de la familia de Sistemas Operativos de máquinas virtuales. z/VM fue lanzado al público en octubre 2000 y permanece en uso activo y desarrollo hasta la fecha (diciembre 2013). Está basado en la tecnología y conceptos de los a?os 1960’s, de los sistemas operativos CP/CMS de IBM, sobre el System/360-67. x/VM corre sobre la familia de computadores System z de IBM[i].Es un sistema operativo orientado a la virtualización.Tiene dos componentes básicos: un programa de control (PC), que es el encargado de crear las máquinas virtuales utilizando recursos reales del sistema. Y El segundo componente es el CMS (Conversational Monitor System), que proporciona la interfaz al usuario.z/VSEz/VSE (Virtual Storage Extended – Almacenamiento Virtual extendido) es un sistema operativo para los mainframes IBM, derivado del DOS/360. Es menos usado que el z/OS, y casi siempre en equipos más peque?os.Es utilizado para mainframes más peque?os. Algunos de estos clientes eventualmente migran a z / OS cuando crecen más allá de la capacidad de z / VSE.Es similar a z/OS, pero más peque?o y menos complejo.Está dirigido a todos los clientes que utilizan VSE/ESA.Es un sistema operativo centrado en la interoperatividad (intercambio de procesos y datos entre sistemas heterogéneos). Evolución arquitecturas IBMzSeriesNombre de marca de IBM designado para todos los mainframes IBM en el 2000.Vienen a reemplazar a los IBM S/390.Término usado para los nuevos mainframes de 64 bits de IBM zSeries 900, o z900,La z9000 introduce la arquitectura de 64 bits al mundo de los mainframes a través de z/Architecture.Servidores proporcionan más del doble del desempe?o de sus antecesores.Z/ArchitectureFormalmente conocida como ESAME (Enterprise Systems Architecture Modal Extensions).Introducida por IBM en el 2000 es el modelo 900 de Introducida por IBM en el 2000 es el modelo 900 de sus zSeries.Arquitectura de 64 bits que:reemplaza la arquitectura anterior ESA/390 de 31 bits de direccionamiento y 32 bits de datos, no perdiendo compatibilidad.también compatible con la arquitectura de 24 bits de direccionamiento y de 32 bits de datos de la arquitectura System/360.Los sistemas operativos soportados varían de acuerdo en la forma en que aprovechan el dise?o de 64 bits.z/10Lanzados en 2005z10 Enterprise Class (2097 series), introducida el 26 Febrero 2008z10 Business Class (2098 series), introducida el 21 Octubre 2008OS/390Es un sistema operativo de International Business Machines (IBM) para los mainframes IBM System/370 y System/390. Es básicamente una versión renombrada de MVS que a?ade los Servicios de sistema UNIX.Hechos HistóricosData desde las tarjetas perforadas y la entrada por lotes. Sus antecesores fueron dise?ados para soportar dos clases de mainframes empresariales: las computadoras 360 y 370. Se convirtió en estándar para la industria. Abarcó desde 1964 hasta 1969. Debido a la exigencia del mundo comercial tuvo que ser creado un sistema operativo que tuviera mayor complejidad, que manejara el tiempo compartido y utilizara varios CPU para acelerar el procesamiento. En 1990 el OS/390 fue creado usando el MVS/ESA (Sistema de Almacenamiento Virtual con Sistema de Arquitectura empresarial) Fue creado para sustituir el System/370 XA por su tecnología de red y controladores de caché.Características PrincipalesFue elaborado para el procesamiento por lotes. Está orientado para entornos de cómputo comercial de multiprogramación. Confiabilidad, seguridad y potencia de procesamiento. Soportaba nuevo hardware. Era más tolerante a fallas. Soportaba la conexión de mainframe a mainframe mediante fibra óptica de alta velocidad con la actualización de Sysplex Parallel de IBM.z/OSEl sistema operativo más actualizado para mainframes de IBM. Sistema operativo de 64 bits. Sucesor del sistema operativo OS/390 (combinación servicios MVS y UNIX). Mantiene funciones e interfaces de los 70’s y 60’s, pero también ofrece algunos atributos y elementos de los llamados sistemas abiertos. Soporta CICS, IMS, RACF, SNA también corre Java, soporta UNIX, APIs y aplicaciones, y se comunica fácilmente con TCP/IP y WebEs el SO más utilizadoEl uso de espacios de direcciones en z / OS tiene muchas ventajas: Aislamiento de las áreas privadas en espacios de direcciones diferentes, proporcionadas para la seguridad del sistema, sin embargo, cada espacio de direcciones también proporciona un espacio común que es accesible a cada espacio de direcciones.El sistema está dise?ado para preservar la integridad de los datos, independientemente de cuán grande es la población de usuarios podría ser. z / OS impide a los usuarios de acceder o modificar cualquier objeto en el sistema, incluyendo los datos del usuarioEl sistema está dise?ado para administrar un gran número de trabajos por lotes concurrentes, sin necesidad de que el cliente gestione externamente el balance de la carga o la integridad problemas que de otro modo podrían producirse por el uso simultáneo y en conflicto de un determinado conjunto de datos.El dise?o de seguridad se extiende a las funciones del sistema, así como archivos simples. La seguridad puede ser incorporada en las aplicaciones, recursos y perfiles de usuario.El sistema permite múltiples subsistemas de comunicaciones al mismo tiempo, permitiendo una flexibilidad inusual en el funcionamiento de diferentes aplicaciones de comunicaciones orientadas al mismo tiempo.El sistema proporciona amplios niveles de recuperación de software. Las interfaces del sistema permiten a los programas de aplicación proporcionar sus propias capas de la recuperación.El sistema está dise?ado para manejar cargas de trabajo de forma rutinaria muy dispares, con equilibrio automático de los recursos para satisfacer las necesidades de producción establecidas por el administrador del sistema.Sistemas soportados por z/OSCICS (Customer Information Control System): Servidor transaccional para actividades en batch y en línea.IMS (Information Management System): Base jerárquica y administra información que posee capacidades de procesamiento transaccional.RACF (Resource Access Control Facility).SNA (Systems Network Architecture): Arquitectura red de IBM (1974).Seguridad en z/OSCriptografíaRACF y LDAPFunciones de seguridad para comunicacionesWAS - Conexión a internetRol de productos TivoliRol de productos Vanguard, incluyen:Detección de intrusos.User Reset o passwords olvidados.Single Password Enterprise SignTodo en una interfaz gráfica para RACFAS/400Equipo de IBM de gama media y alta, para todo tipo de empresas y grandes departamentos.Sistema multiusuario.Interfaz controlada mediante menús y comandos CL (Control Language).Sistema operativo basado en objetos y bibliotecas, denominado OS/400Un punto fuerte del OS/400 es su integración con la base de datos DB2/400, siendo los objetos del sistema miembros de la citada base de datos.Da soporte para los datos de las aplicaciones.Soporta GNU/Linux, AIX o incluso Windows en una placa Intel integrada.CualidadesLenguajes de programación RPG, PHP, C, Java, COBOL, SQL, BASIC y REXX.Implementa funciones como seguridad, base de datos y comunicaciones en micro código, además de que proveen un SO de una sola pieza que tiene como resultado, una mayor eficiencia, consistencia y simplicidad.OS/400 tiene una base de datos relacional DB2 integrada en el KERNEL, la cual no puede ser sustituida además de ser la única que acepta este sistema.Toda la configuración y sistema de seguridad se apoyan en esta base de datos, confirmando aún más su condición de exclusivo para los equipos iSerie.La Base de Datos del SO OS/400 puede ser utilizada en otras plataformas.Tiene una disponibilidad de un 99.97 % de un equipo.Arquitectura AS/400La arquitectura de AS/400 es extremadamente adaptable y puede incorporar fácilmente nuevas tecnologías.El AS/400 se dise?a para separar el software y el hardware.Esto se logra a través del interfaz de la máquina (MI) que es un interfaz de la programación.OS/400El sistema operativo para el AS/400 se llama OS/400.El OS/400 reside sobre el MI (Interfaz Maquina), esto permite que el sistema operativo sea independiente del hardware. La mayoría de los componentes del sistema operativo manejan funciones tales como memoria, proceso, programa, y gerencia de I/O.Servicios de Seguridad e InfraestructuraLos servicios de seguridad y de la capa de infraestructura contienen los componentes de nivel superior, que puede ser directamente asignado al marco de seguridad de IBM. Cada Administración de la Seguridad Fundacional componente representa controles de negocio, en lugar de la tecnología. Las propias subcapas constan de servicios individuales y relacionados entre sí:La seguridad de la información y la infraestructura de gestión de eventos proporcionan la infraestructura para automatizar el registro de la agregación, correlación y análisis. También permite a una organización reconocer, investigar y responder a incidentes de forma automática, y agilizar los incidentes, el seguimiento y la manipulación, con el objetivo de mejorar las operaciones de seguridad y riesgos de la información de gestión.La infraestructura de identidad, el acceso y el derecho proporciona servicios para la gestión de usuarios, contrase?as de aprovisionamiento, inicio de sesión único, control de acceso, y la sincronización de usuarios de información a través de directorios.La infraestructura de la política de seguridad proporciona servicios para gestionar el desarrollo aplicación de políticas de seguridad de una manera coherente y automatizar el despliegue de esas políticas a los sistemas informáticos.RACFEl Security Server o el tradicionalmente llamado RACF (Resource Access Control Facility).Aunque pueda parecer que todos los sistemas de seguridad al final se basen en lo mismo, en el caso del mainframe es un caso aparte, ya que el sistema de seguridad de un mainframe se desarrolló junto con el desarrollo del sistema operativo y por tanto, es intrínseco y está fuertemente acoplado al mismo.En cambio, en otros sistemas tipo Unix y demás, la seguridad fue un desarrollo posterior y por tanto, sigue otras directrices. RACF es un compendio de reglas de seguridad que se crean en base a unas clases. Una clase es un grupo de objetos los cuales queremos otorgarle un determinado acceso, por lo que todo objeto perteneciente a la misma clase tendrá el mismo nivel de seguridad. Por objeto se entiende desde un fichero, hasta un slot de proceso o abstracción funcional de software, por llamarlo de alguna manera.Existen dos tipos de clases: Las denominadas “normales”: es decir, clases de acceso, facilitys, logging y demás. Las clases “especiales”, que son dos: Estas clases se denominan especiales porque pueden ser gobernadas por clases “normales” que les concederán un cierto acceso, estas clases pueden ser regidas por otras clases.Las clases Usuario: es muy importante porque se hace cargo de la seguridad referente al tipo de usuario, tipo de acceso a los elementos mainframe y que facilidades tiene otorgado para realizar su trabajo.Las clases Dataset: es una clase especial que sirve para tener el control total sobre todo elemento susceptible de grabarse en disco o cinta.Por tanto, se podría decir que RACF controla TODO el sistema internamente (procesos, subprocesos, schedulers, dispatchers, el núcleo, etcétera), controla los usuarios, el acceso de los usuarios a los datos, el acceso de los mecanismos de acceso a los datos, la interacción de los mecanismos de acceso con los procesos.Tivoli zSecure Manager for RACF z/VMIBM Tivoli zSecure Manager for RACF z/VM ha sido dise?ado para proporcionar a los administradores herramientas que les ayudarán a liberar el potencial de su sistema de mainframe, haciendo posible una administración eficaz y efectiva del RACF, a la vez que ayuda a reducir el uso de recursos. Al automatizar muchas de las funciones de administración de sistemas recurrentes, Tivoli zSecure Manager for RACF z/VM le puede ayudar a maximizar los recursos de TI, reducir errores, mejorar la QoS y demostrar conformidad.Sus capacidades son, las siguientes:Automatizar tareas de gestión de la seguridad de z/VM complejas y que requieren mucho tiempo con acciones simples de un solo paso que pueden llevarse a cabo sin un conocimiento detallado de los comandos del RACF.Identificar rápidamente y evitar problemas en el RACF antes de que se conviertan en una amenaza para la seguridad y la conformidad.Ayudar a reducir la carga de la consolidación de las bases de datos.Crear controles exhaustivos de auditoría sin un esfuerzo manual importante.Generar y visualizar informes de auditoría personalizados con calendarios flexibles y secciones de eventos.Cifrado de discosPara ayudar a garantizar que sus datos almacenados están seguros, z/VM soporta el uso de las funciones de cifrado IBM Full Disc Encryption del sistema IBM DS8000. Para utilizar estas funciones de cifrado no es necesario realizar ningún cambio en la configuración del sistema z/VM. El estado de cifrado de un volumen se determina fácilmente utilizando un simple comando z/VM.Cifrado de cintasz/VM ayuda a proteger los datos almacenados en cinta de una forma rentable ofreciendo soporte para el cifrado de datos basado en unidades utilizando las soluciones IBM System Storage TS1120 Tape Drive (tipo de máquina 3592, modelo E05) e IBM System Storage TS1130 Tape Drive (tipo de máquina 3592, modelo E06). El cifrado de cintas exige que el IBM Encryption Key Manager se ejecute en otro sistema operativo, utilizando una conexión fuera de banda (como TCP/IP) a una unidad de control de cinta. El soporte de z/VM incluye el cifrado para Double Data Rate (DDR) y SPXTAPE, así como para huéspedes que no puedan ofrecer su propia habilitación de cifrado (por ejemplo, CMS y Linux para System z). z/VM también hace posible el cifrado de cintas por parte de huéspedes (como z/OS) que tienen la capacidad de controlar las funcionalidades de cifrado de cintas por sí mismas y ejecutar, opcionalmente, el Encryption Key Manager. Los cartuchos de cinta cifrados con anterioridad pueden volverse a cifrar con un nuevo conjunto de claves sin necesidad de leer y reescribir los datos almacenados en el cartucho, permitiendo así una protección continua de los datos almacenados en el cartucho de cinta mientras se cambian o sustituyen los certificados de cifrado que se utilizaban para crearlos.Los huéspedes de z/VSE pueden utilizar DFSMS/VM FL221 para localizar unidades de cinta 3592 aptas para cifrado en una biblioteca de cintas automatizada empresarial.Servidor Secure Sockets Layer (SSL)El servidor TCP/IP for z/VM SSL está disponible para facilitar conversaciones seguras y privadas entre servidores z/VM y clientes externos. Con el soporte de z/VM para SSL y para Transport Layer Security (TLS), un servidor VM pueden comunicarse con un cliente seguro sin necesidad de cambiar al propio servidor. El servidor SSL suministrado con z/VM soporta servicios de cifrado/descifrado de 40 bits, 56 bits y 128 bits. El servidor SSL es capaz de ofrecer soporte transparente para protocolos que pueden encapsularse en una sesión SSL segura (por ejemplo, HTTPS) y presta servicio a aplicaciones que necesitan pasar de un texto sin cifrar a un texto seguro, tales como TN3270, File Transfer Protocol (FTP) y Simple Mail Transfer Protocol (SMTP).Aceleración criptográficaLa función criptográfica del IBM System z10 ha sido dise?ada para satisfacer los requisitos de seguridad de los servidores de alta gama. Puede configurarse como un coprocesador para transacciones de clave segura o como un acelerador para la aceleración SSL, ofreciendo mejoras importantes en el rendimiento de los algoritmos criptográficos utilizados para el cifrado y la generación y verificación de pares de claves públicas y privadas.z/VM pone las funciones Crypto Express2 y Crypto Express3 a disposición de los huéspedes bien con acceso dedicado para su uso en operaciones de clave segura y clave sin cifrar o bien con acceso compartido para operaciones de clave sin cifrar.La CP Assist for Cryptographic Function (CPACF) forma parte de cada procesador en el servidor System z de IBM. Ofrece un conjunto de funciones criptográficas que se centra en la función de cifrado/descifrado de SSL, Virtual Private Network (VPN) y aplicaciones de almacenamiento de datos. La CPACF es utilizada por las funciones SSL/TLS incluidas en el cliente y el servidor LDAP z/VM y por las funciones SSL proporcionadas por el servidor SSL z/VM. Cualquier máquina virtual puede acceder a las funciones de la CPACF utilizando las ampliaciones Message-Security Assist (MSA) de la arquitectura de procesador System z de IBM. No se necesita ninguna autorización o configuración explícita de z/VM.Certificación según la norma de criterios comunesEl z/VM V5.3 con el componente RACF Security Server ha sido certificado por la Oficina Federal Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik [BSI]) por su conformidad con el Controlled Access Protection Profile (CAPP) y el Labelled Security Protection Profile (LSPP) de la norma de criterios comunes para la seguridad de TI, ISO/IEC 15408, al nivel de garantía de evaluación 4, incrementado con los procedimientos de resolución de errores (EAL4+). Aún no se ha llevado a cabo la evaluación de conformidad del z/VM V6.1, pero ha sido dise?ado para cumplir las mismas normas.Interconexión con z/VMz/VM ofrece dos tipos de interconexión virtual: LANs huéspedEstas tecnologías permiten a los huéspedes comunicarse entre sí y con otros hosts de la red sin necesidad de dedicar recursos de hardware a cada huésped.Las LANs huésped son segmentos simulados de LAN que no tienen una conexión integrada a ninguna otra LAN. Sólo se conectan a otra red cuando un huésped lleva a cabo servicios rutinarios. Pueden definirse para simular HiperSockets o un funcionamiento OSA-Express en modo QDIO. Las LANs huésped definidas para funcionar como OSA-Express pueden configurarse para simular el modo OSA L2 (Ethernet) o el modo Internet Protocol (IP). En modo Ethernet, cada huésped de la LAN huésped se referencia por su dirección Media Access Control (MAC) y los datos se transmiten y reciben como tramas Ethernet completas. Este modo soporta IP, SNA, NetBios o cualquier otro formato de trama Ethernet. En modo IP, cada huésped se referencia por su dirección IP. Se pueden utilizar los protocolos IPv4 o IPv6, ayudando así a los desarrolladores de aplicaciones y de pilas TCP/IP a crear y probar nuevas aplicaciones y controladores de dispositivo aptos para IPv6.VSWITCHz/VM ofrece la capacidad de implantar conmutadores virtuales Ethernet. El z/VM VSWITCH elimina la necesidad de que máquinas virtuales funcionen como routers para conectar una LAN huésped a una LAN física a través de un adaptador OSA-Express. Los routers virtuales consumen una capacidad de procesador muy valiosa debido a la necesidad de copiar repetidas veces los datos que están siendo transportados.El VSWITCH puede ayudar a disminuir estos problemas, así como a proporcionar una configuración y un control de red virtual centralizados. Estos controles permiten al administrador de z/VM otorgar y revocar acceso a la red de forma mucho más sencilla. El VSWITCH ofrece un soporte de recuperación de errores mejorado para lograr una recuperación con menos interrupciones tras algunos de los fallos de red más comunes, ayudando así a mejorar la continuidad del negocio y la fiabilidad y disponibilidad de la infraestructura.Al igual que en las LANs huésped, el VSWITCH soporta tanto el modo L2 (Ethernet) como el modo de transporte de datos IP.El VSWITCH también ofrece soporte para la norma de agregación de enlaces 802.3ad del Institute of Electrical and Electronics Engineers (IEEE). Este soporte está dise?ado para permitir la agrupación de hasta ocho puertos OSA-Express en un único puerto lógico. Esto ayuda a aumentar el ancho de banda más allá de lo que podría proporcionar un único adaptador OSA-Express y ofrece una recuperación de errores más rápida y uniforme en el caso de un fallo en el enlace.Los huéspedes pueden aprovechar estas conexiones altamente disponibles y de mayor ancho de banda sin necesidad de ninguna configuración adicional. No es necesario definir y gestionar múltiples adaptadores de red virtuales o implementar protocolos de enrutamiento dinámicos dentro del huésped.Virtualización de redes z/VMz/VM ofrece la capacidad de autorizar que un huésped conectado a una LAN huésped o a un VSWITCH z/VM motive la entrada de un adaptador de red virtual (tarjeta de interfaz de red (NIC)) en ‘modo promiscuo’. En este modo, el huésped actúa como un ‘detector’ virtual para capturar tráfico de red. Esta capacidad puede ayudar a un administrador (o propietario de una máquina virtual huésped) a capturar datos de red y a resolver problemas de red virtuales. También puede utilizarse para implementar un sistema de detección de intrusos (IDS).z/VM aprovecha la tecnología VLAN del IEEE para ayudar a reducir el número de puertos OSA-Express2 o OSA-Express3 necesarios para transportar el tráfico a múltiples segmentos de LAN. Para soportar VLANs, z/VM ofrece:Soporte de interfaz de red OSA-Express y HiperSockets virtual para el etiquetado VLAN de tramas Ethernet por parte de los huéspedes y de CP, tal y como se describe en el protocolo IEEE 802.1q.Puertos de acceso virtuales que permiten la asignación de huéspedes no compatibles con VLAN a VLANs específicas sin necesidad de realizar ningún cambio en la configuración IP del huésped.Puertos de enlace virtuales que permiten a huéspedes compatibles con VLAN utilizar una VLAN autorizada.La capacidad de consolidar autorizaciones VLAN dentro de un gestor de seguridad externo (ESM) como el RACF.Administración y gestión de redes simplificada de las VLANs con soporte para Generic Attribute Registration Protocol (GARP) y VLAN Registration Protocol (GVRP) utilizando adaptadores OSA-Express2 u OSA-Express3 en z/VM.z/VM proporciona la capacidad de restringir las comunicaciones entre huéspedes dentro de un VSWITCH y entre adaptadores OSA-Express compartidos utilizados por el VSWITCH. El aislamiento de puertos del VSWITCH y el aislamiento de la conexión de datos QDIO pueden ayudarle a dise?ar redes virtuales que cumplen estrictas políticas de separación de datos. El aislamiento del tráfico en adaptadores OSA-Express compartidos está disponible para componentes OSA-Express2 y OSA-Express3 en un servidor System z10 EC y en un servidor z10 BC con los MCLs mínimos necesarios.RESUMENLos Mainframes:Juegan un rol central en las operaciones diarias de las organizaciones más grandes del mundo y en la vida cotidiana de la mayoría de la gente.Conocidos por su confiabilidad seguridad y enorme capacidad de procesamiento.Dise?ados para procesar tareas a gran escala y dar servicio a miles de usuarios y transacciones al mismo tiempo.Manejados por un soporte técnico altamente competente.Soportan diferentes sistemas operativos.CAP?TULO 5: UNIX, LINUX, AIX5.1 ResumenEste capítulo está enfocado a uno de los sistemas operativos más conocidos y utilizados a nivel mundial, el cual se emplea ampliamente en el uso de servidores y de cierta manera en una gran mayoría de dispositivos móviles. Se describirá en qué consiste este sistema, teniendo en cuenta el significado de cada uno de los términos más utilizados. Se revisará también el origen junto con una rese?a histórica, en la cual se expondrá la evolución de las distintas versiones de este sistema a través del tiempo. Luego se describirán las distribuciones más utilizadas tanto en el ambiente doméstico como empresarial.Después, se describirán los mecanismos de seguridad a nivel conceptual que abarcan estos sistemas, de modo que se conozca la posible configuración de distintos aspectos del sistema con tal de que se pueda convertir efectivamente en un sistema seguro. Adicionalmente se listarán algunos productos de software ofrecidos para Linux los cuales pueden ofrecer un conjunto de herramientas para fortalecer la seguridad del sistema.Posteriormente se detallarán ciertos pasos y consejos de seguridad para una correcta configuración de seguridad del sistema, de modo que se detalle los distintos comandos disponibles y su correcto uso. Además, se plasmarán estos conceptos en un caso práctico según un Sistema de Gestión de Riesgos.Finalmente, se explicarán las conclusiones basadas en la investigación realizada a lo largo del curso con tal de que se reafirme lo explicado en todo el informe y se detalle lo aprendido con la presente investigación.5.1 IntroducciónEntre los primeros sistemas operativos que aparecieron se encuentra UNIX. Linux es un kernel (núcleo) de sistemas operativos que nació a partir de UNIX. AIX es un conjunto de sistemas operativos UNIX que son integrados por IBM para un entorno empresarial. A continuación se definirá el significado de cada uno.UNIX: Es un conjunto de sistemas operativos, es decir, es una colección de programas que ejecutan otros programas en una computadora. UNIX nació en los Laboratorios Bell de AT&T en 1969, desarrollado por Ken Thompson y Dennis Ritchie (también creador del lenguaje de programación C). La primera versión de UNIX fue creada en 1969.Linux: Es un kernel semejante al de Unix, creado por Linus Torvalds en 1991. Los sistemas operativos que utilizan Linux son denominados GNU/Linux, ya que el sistema usa los componentes del sistema operativo GNU (GNU's Not Unix!). Existen diversas distribuciones de sistemas operativos que utilizan el kernel Linux. GNU: Es un sistema operativo cuyo dise?o es muy similar al de UNIX fundado por Richard Stallman en 1983. La principal diferencia con UNIX se encuentra en el que software es libre bajo una licencia GPL (General Public License). Por este motivo, las herramientas de software de GNU son utilizdas en conjunto con el kernel Linux para formar las distintas distribuciones de sistemas operativos. Sin embargo, no todos los sistemas con el kernel Linux usan GNU, como Android.AIX: Advanced Interactive eXecutive. Es una serie de sistemas operativos UNIX propietaris desarrollados y vendidos por IBM para varios de sus plataformas de computación. Está basado en UNIX System V. La primera versión es de 1986.5.2 Marco TeóricoUNIXUnix es un sistema operativo que permite la ejecución de distintas tareas de forma simultánea, soporta tener múltiples usuarios y es portable, lo que significa que es capaz de ser usado en máquinas que poseen distintas arquitecturas. Fue desarrollado en Bell Labs de AT&T en el a?o 1969 por Ken Thompson, Dennis Ritchie y Douglas McIlroy, entre otros empleados de aquella compa?ía. El código de UNIX estaba inicialmente escrito en lenguaje ensamblador pero el a?o 1972 se reescribió Unix con el lenguaje de programación C. UNIX se convirtió así en el primer sistema operativo escrito en lenguaje de alto nivel lo que lo hizo portable y le dio un gran éxito, ya que pudo usarse en otras compa?ías y universidades. Luego se lanzaron dos líneas principales de versiones distintas de UNIX: Sistema V y BSD (Berkeley Software Distribution). En 1975 Ken Thompson promovió el desarrollo y sacó a la luz su propia versión de UNIX, conocida como BSD la cual incluía un compilador de Pascal, el editor vi, el editor ex y el Shell C. En 1983 se lanza BSD versión 4.2. Entre sus características principales se encuentran la gestión de archivos así como la posibilidad de trabajo en redes basadas en los protocolos TCP/IP. Esta versión de UNIX la adoptaron varios fabricantes, entre ellos Sun Microsystems, lo que dió lugar a SunOS.En la década de los ochentas, se fueron desarrollando versiones sucesivas de Unix y en a?os siguientes aparecieron versiones que emulaban sus funciones.Algunas variantes de UNIX en la actualidad:Solaris: Es el nombre con el que se conoce el sistema operativo de Sun Microsystems. Originalmente se llamó SunOS, pero posteriormente, debido a la presentación de UNIX System V se desarrolló una nueva versión a la que se le llamó Solaris. Existen versiones de Solaris para Power PC, Intel y Sparc.AIX: La versión del sistema operaivo UNIX para las máquinas IBM se llama AIX y está basada en Sistema V versión 3 y BSD 4.3.A/UX: Implementación de UNIX de AppleIRIX: Versión de UNIX desarrollada por Silicon Graphics para sus estaciones basada en UNIX Sistema V version 4.SCO UNIX: Es la versión de Santa Cruz Operation (SCO), versión de UNIX Sistema V dise?ada para plataformas Intel.GNU/LinuxLinuxEn 1983 Richard Stallman fundó el proyecto GNU, con el fin de crear sistemas operativos parecidos a UNIX y compatibles con POSIX. Dos a?os más tarde creó la "Fundación del Software Libre" y escribió la GNU General Public License para posibilitar el software libre en el sistema de copyright.A principios de los a?os 1990, no había un sistema operativo libre completo. A pesar de que el proyecto GNU era desarrollado constantemente, no disponía sin embargo de ningún buen Kernel basado en UNIX, por el contrario era un número de proyectos de software libres que podían ser traducidos en las variantes UNIX mediante el compilador de GNU.La historia de Linux está fuertemente vinculada a la del proyecto GNU. Hacia 1991, cuando la primera versión del núcleo Linux fue liberada, el proyecto GNU había producido varios de los componentes del sistema operativo, incluyendo un intérprete de comandos, una biblioteca C y un compilador, pero aún no contaba con el núcleo que permitiera complementar el sistema operativo. Entonces, el kernel Linux llenó el hueco final que el sistema operativo GNU exigía.Linux se refiere estrictamente al núcleo Linux, pero es comúnmente utilizado para describir al sistema operativo tipo Unix (que implementa el estándar POSIX), que utiliza primordialmente filosofía y metodologías libres (también conocido como GNU/Linux) y que está formado mediante la combinación del núcleo Linux con las bibliotecas y herramientas del proyecto GNU y de muchos otros proyectos/grupos de software (libre o no libre).La expresión "Linux" es utilizada para referirse a las distribuciones GNU/Linux, colecciones de software que suelen contener grandes cantidades de paquetes además del núcleo. El software que suelen incluir consta de una enorme variedad de aplicaciones, como: entornos gráficos, suites ofimáticas, servidores web, servidores de correo, servidores FTP, etcétera. Coloquialmente se aplica el término "Linux" a éstas. Algunas personas opinan que es incorrecto denominarlas distribuciones Linux, y proponen llamarlas sistema GNU/Linux. Otras personas opinan que los programas incluidos proceden de fuentes tan variadas que proponen simplificarlo denominándolo simplemente a "Linux".Existe un gran número de distribuciones de los diferentes sistemas operativos Linux. Cada distribución cuenta con sus propias características y herramientas. AIXAIX es un sistema operativo UNIX que apareció en 1986 permite ejecutar aplicaciones en cualquier hardware y servidores IBM UNIX. Es un sistema operativo propietario, desarrollado y vendido por la compa?ía IBM para varias de sus plataformas de sistemas y ordenadores. Su uso está extendido en varias series de sistemas que se utilizan en grandes redes dedicadas a múltiples tareas diferentes. El sistema operativo AIX está basado en el sistema Unix V con extensiones compatibles del sistema BSD. Este conocido sistema empezó en la segunda década de los a?os ochenta convirtiéndose en el sistema operativo estándar de la serie RS/6000 cuando fue lanzada en los a?os noventa, y todavía se sigue desarrollando de forma activa con IBM.5.4 Seguridad en UNIXEn la primera mitad de la década de los ochenta Unix era un sistema operativo muy vulnerable e inseguro, pero a final de los ochenta, los sistemas Unix se constituyen de los más seguros que existen.Dentro de los sistemas UNIX, destacan lo Trusted Unix. Estos son sistemas altamente seguros, que alcanzan altos niveles de seguridad bajo estándares internacionales. La otra gran parte de sistemas Unix como Solaris, Linux o AXT también son muy seguros. En definitiva que Unix a pasado de ser un sistema totalmente arcaico en cuanto a seguridad a ser de los más seguros que existen con un alto nivel de fiabilidad.Se dice que los sistemas Linux no son tan seguros pero sólo por cuestión de configuración, ya que después de la instalación se puede configurar en cuanto a seguridad y serán sistemas altamente fiables. Sistema de archivosDentro de un sistema Unix todo son archivos, desde la memoria física del sistema hasta el ratón; este dise?o potenciara mucho a Unix pero también es muy peligroso, ya que un simple fallo al dar los permisos a los distintos ficheros y podríamos facilitar que cualquier usuario modifique todo el disco duro. Estos archivos pueden ser de tres tipos: -Ficheros planos: son simplemente secuencias de bytes que sólo tienen sentido para las aplicaciones que interpretan su contenido. -Directorios: son ficheros cuyo contenido son otros ficheros que pueden ser de cualquier tipo, incluso otros directorios. -Ficheros especiales: representan dispositivos del sistema y se pueden dividir en orientados a carácter (realizan las operaciones de input/output byte a byte) y orientadas a bloque (las realizan en bloques de bytes).Cada sistema Unix tiene su sistema de ficheros, para acceder a ellos Unix incorpora una capa superior llamada VFS. Es aquí donde aparece el concepto de inodo, que es una estructura de datos que relaciona un grupo de bloques de un dispositivo con el nombre de un sistema de archivos. Internamente, Unix no distingue sus archivos por el nombre, sino por el número de inodo.Desde el punto de vista del usuario, el aspecto mas importante de un sistema de archivos es la estructura que refleja el sistema de archivos, que constituye un archivo, como los archivos se nombran y se protegen, que operaciones están permitidas sobre los archivos, etc.Las reglas exactas para nombrar archivos son nombre de hasta 255 caracteres, diferenciando mayusculas y minusculas, es "case-sensitive".Unix utiliza el concepto de particion raiz y monta los sistemas de archivos sobre esta particion. Esto significa que todas as unidades utilizan una estructura comun. Asi no existiran varias unidades y una estructura de directorios por unidad, sino que existira una unica estructura de directorios y sobre ella se acomodaran las distintas unidades, inclusive las que se comparten en redes.Permisos en UNIXUnix, como sistema multiusuario, asigna un propietario y un grupo a cada archivo (y directorio) y unos permisos al propietario, al grupo y al resto de los usuarios. La forma más rápida de comprobar esta característica es usar el comando ls -la. Así aparece el tipo de fichero, el propietario, el grupo, los permisos e información adicional. Es conveniente tener claros los permisos que se pueden asignar a un archivo o directorio. Puede que algunas aplicaciones no funcionen bien si algún archivo no tiene el permiso o el propietario correctos, bien por falta de permisos o bien por exceso.En general, cualquier sistema UNIX divide el control de acceso a ficheros y directorios en tres elementos: propietario, grupo y otros. Tanto el propietario como el grupo són únicos para cada fichero o directorio. Eso sí, a un grupo pueden pertenecer múltiples usuarios. Propiedad: Qué usuario y grupo posee el control de los permisos del i-nodo. Se almacenan como dos valores numéricos, el uid (user id) y gid (group id).Permisos: Bits individuales que definen el acceso a un fichero o directorio. Los permisos para directorio tienen un sentido diferente a los permisos para ficheros.Lectura (r): Fichero: Poder acceder a los contenidos de un fichero Directorio: Poder leer un directorio, ver qué ficheros contiene Escritura (w): Fichero: Poder modificar o a?adir contenido a un fichero Directorio: Poder borrar o mover ficheros en un directorio Ejecución(x): Fichero: Poder ejecutar un programa binario o guion de shell Directorio: Poder entrar en un directorio Estos permisos se pueden aplicar a: usuario (u): El propietario del fichero. grupo (g): El grupo al que pertenece el fichero.otros (o): El resto de los usuarios del sistema.Encriptación de archivosTodos los usuarios del sistema pueden visualizar el contenido del fichero /etc/passwd, por lo que cualquier usuario tiene acceso a todas las contrase?as, aunque estén encriptadas.Linux utiliza una llamada al sistema, crypt, para codificar las contrase?as y aunque resulta difícil descifrarla, no es imposible. Además, en el fichero /etc/passwd hay más información de los usuarios como el uid, gid, etc., por lo que está facilitando información al exterior.Una manera de proteger más aún el sistema es utilizar la codificación de sombra (shadow) para ubicar las contrase?as en otro archivo llamado /etc/shadow sólo accesible por root. En efecto, el traslado de las contrase?as cifradas al archivo /etc/shadow, accesible únicamente por el superusuario, a?ade una útil capa de protección.Cada línea representa a un usuario y la información se encuentra en campos separados. El significado de cada uno de los campos es el siguiente: Perfil de superusuario.Una de las principales características de Linux es la capa extra de seguridad que a?ade a su sistema, razón por la cual se usa mucho en supercomputadoras y servidores de todo el mundo.La cuenta root o de superusuario es la cuenta con los permisos más elevados; similar al Administrador en Windows. Este usuario tiene permisos de lectura, escritura y ejecución de cualquier aplicación del sistema (acceso administrativo en general); a diferencia de los usuarios normales que tienen acceso limitado a ciertas tareas por razones obvias de seguridad.Una instrucción dada con permisos de superusuario puede ser muy útil cuando se usa correctamente.En la mayoría de los sistemas operativos se contempla el uso de un sólo usuario que, por lo general, tiene permisos de administrador. En Linux las cosas son un poco diferentes. En lugar de asignar derechos de administrador a todas las cuentas de usuario, Linux separa la cuenta de superusuario (root) de la cuenta de usuario normal.Para hacer algo con privilegios de superusuario siempre se utiliza el comando SU. Esto hace que, al menos psicológicamente hablando, tengamos la noción de que estamos haciendo algo más serio con nuestro sistema. SU, del inglés substitute user (cambiar usuario), se utiliza principalmente para cambiar de usuario en una terminal; generalmente de un usuario normal a root, sin tener que cerrar sesión e iniciar de nuevo.En Linux las cosas son un poco diferentes. En lugar de asignar derechos de administrador a todas las cuentas de usuario, Linux separa la cuenta de superusuario (root) de la cuenta de usuario normal.Para hacer algo con privilegios de superusuario siempre se utiliza el comando SU. Esto hace que, al menos psicológicamente hablando, tengamos la noción de que estamos haciendo algo más serio con nuestro sistema. SU, del inglés substitute user (cambiar usuario), se utiliza principalmente para cambiar de usuario en una terminal; generalmente de un usuario normal a root, sin tener que cerrar sesión e iniciar de nuevo.La importancia del superusuario en Linux se mide en términos de seguridad. Para los administradores de sistemas multi-usuario esto representa una gran ventaja puesto que se reduce el da?o accidental o malicioso ejecutado por otro usuario. Cualquier da?o realizado como un usuario normal se mantiene contenido dentro de ese dominio, de manera que no afecta al sistema o a otros usuarios.Además es mucho más difícil que el software malicioso (malware) que se origina en equipos remotos pueda acceder a los archivos críticos del sistema (que generalmente pertenecen a la cuenta de root). Utilizar una cuenta de superusuario evita cometer menos errores.Malware en LinuxEs cierto que usando GNU Linux las probabilidades de infección son muy bajas. Pero el principal motivo no es que GNU Linux sea un sistema operativo más seguro que Windows. La razón es que la industria del malware no está interesada en atacar GNU Linux.En el mundo existen muchos servidores Linux que almacenan información importante y/o sensible. No obstante estos servidores no son un objetivo de ataque importante por los siguientes motivos:Habitualmente los servidores o equipos personales con Linux están gestionados por personal experto.Detrás de un servidor no hay un usuario final dispuesto a revisar y abrir todo lo que se le meta por delante.Los servicios de hosting, o los administradores de los servidores, hacen copias de seguridad de los datos almacenados en los servidores. Al disponer de copias de seguridad es difícil que los atacantes consigan monetizar el malware. Lo único que conseguirán será robar datos y/o recursos del servidor atacado.Linux no es un sistema operativo que te pueda garantizar la seguridad absoluta. En los 5 primeros meses del a?o 2017 se han detectado mas vulnerabilidades de seguridad en el Kernel Linux que en Windows 10. Esto demuestra que Linux no está exento de problemas de seguridad.En GNU Linux hay menos infecciones por malware, pero no es porque sea un sistema operativo más seguro. Las infecciones en GNU Linux son poco frecuentes por los siguientes motivos:La industria del malware no está interesada en explotar las vulnerabilidades de Linux porque les resultaria difícil monetizar sus exploits. Hay que tener en cuenta que Linux tiene una tasa de implantación muy baja en usuarios de escritorio.Los servidores Linux están gestionados por gente con conocimientos que realizan copias de seguridad de forma periódica. Al disponer de copias de seguridad les será fácil restaurar un servicio o información después de un problema. Por lo tanto a los atacantes les resultará difícil monetizar sus ataques.El eslabón más débil en seguridad es el usuario final. En Linux los usuarios finales acostumbran a tener conocimientos más avanzados que los usuarios de Windows.Los usuarios de Linux acostumbran a actualizar su sistema operativo. En cambio existen muchos usuarios de Windows que les da pereza o no saben actualizar su sistema operativo. Incluso existen empresas importantes que no actualizan sus equipos.Por lo tanto, la solución al problema de los Ransomware u otro tipo de Malware no es Linux. No hay ningún sistema operativo que sea 100% seguro y decir que GNU Linux es un sistema prácticamente invulnerable lo único que hace es crear una falsa sensación de seguridad.Por lo tanto en Linux, al igual que en el resto de sistemas operativos, hay que tener cuidado y aplicar buenas prácticas de seguridad.Productos de Seguridad para LinuxExisten varios productos en el mercado para usuarios que desean un mayor nivel de seguridad a nivel empresarial.Sourcefire’s ClamAVEs un software antivirus gratis, open-source dise?ado para detectar Troyanos, Virus, Malware y otras amenazas. Algunas distribuciones de Linux vienen instaladas con este software, el cual viene incluido con un escáner de daemons, utilitarios para línea de comando para escaneo de archivos y una herramienta inteligente para actualizaciones automáticas de firmas de seguridad.Sourcefire’s SnortEs un NIPS: Network Prevention System y un NIDS: Network Intrusion Detetection, capaz de analizar redes IP. Se usa sobre todo para detectar ataques como buffer overflows, acceso a puertos abiertos, ataques web, etc.Consiste en un sistema open source para prevención de intrusión a redes y un sistema de detección que combina inspección de protocolos y comportamientos anómalos, . WiresharkSniffer de paquetes, se utiliza para analizar el tráfico de red. Cuenta con una GUI y opciones de ordenación y filtro. Coloca la tarjeta de red en modo promiscuo para poder analizar todo el tráfico de la red. También disponible para Windows.John the RipperHerramienta para cracking de contrase?as. Es una de las más conocidas y populares (también tiene versión Windows). Además de autodetectar el hash de las contrase?as, cuenta con varias opciones de configuración Se puede usar en contrase?as encriptadas para Unix (DES, MD5 ó Blowfish), Kerberos AFS y Windows. Tiene módulos adicionales para incluir hashes de contrase?as en MD4 y almacenadas en LDAP, MySQL y otros.Se utiliza bastante para detectar contrase?as débiles y fáciles de romper.NmapAbreviación para Network Mapper. Es un utilitario gratuito y open source para exploración de red o audioría de seguridad. Se usa para encontrar equipos y servicios en una red. Se usa sobre todo para escanear puertos, pero esta es sólo una de sus posibilidades. También es capaz de descubrir servicios pasivos en una red así como dar detalles de los ordenadores descubiertos (sistema operativo, tiempo que lleva conectado, software utilizado para ejecutar un servicio, presencia de un firewall ó incluso la marca de la tarjeta de red remota). Funciona en Windows y Mac OS X también. ChkrootkitEs un shell script gratuito usado para descubrir rootkits instalados en nuestro sistema. El problema es que muchos rootkits actuales detectan la presencia de programas como este para no ser detectados.NessusEs un escáner de vulnerabilidades con 5 millones de descargas. Utiliza descubrimiento de alta velocidad, auditoría de configuración, manejo de perfiles, descubrimiento de datos sensibles y análisis de vulnerabilidades del sistema. El uso personal de Nessus es gratis pero las empresas deben comprar una suscripción de 1200$ por a?o.Instalación seguraParticiones de discosLa NSA recomienda la creación de particiones independientes para /boot, /, /home, /tmp y /var/tmp. Las razones son diferentes para cada una y se abordarán en la descripción de cada partición./boot - Esta es la primera partición leída por el sistema durante el arranque. El gestor de arranque y las imágenes de kernel utilizadas para arrancar el sistema dentro de Red Hat Enterprise Linux se almacenan en esta partición. Esta partición no se debe cifrar. Si la partición se incluye en / y dicha partición está cifrada no estará disponible y por lo tanto no podrá arrancar./home - Cuando los datos de usuario (/home) se almacenan en / en lugar de una partición independiente, la partición puede llenarse y ocasionar así que el sistema operativo se vuelva inestable. También, al actualizar el sistema a la versión siguiente de producto Red Hat Enterprise Linux es mucho más fácil mantener los datos en la partición /home ya que no se sobrescribirá durante la instalación. Si la partición de root (/) se corrompe sus datos se pueden perder para siempre. Si utiliza una partición independiente hay un poco más de protección ante la pérdida de datos. También puede destinar esta partición para copias de seguridad frecuentes./tmp y /var/tmp - Los directorios /tmp y /var/tmp se utilizan para almacenar datos que no necesitan ser almacenados por un largo periodo de tiempo. Sin embargo, si una gran cantidad de datos inunda uno de estos directorios, puede consumir todo el espacio de almacenamiento. Si esto sucede y los directorios están almacenados dentro de / entonces el sistema se puede volver inestable y colgar. Por esta razón, es una buena idea desplazar estos directorios a sus propias particiones.Utilice el cifrado de particiones LUKSDurante el proceso de instalación se le dará al usuario la opción para cifrar las particiones. El usuario debe proporcionar la frase de paso para desbloquear la llave de cifrado masivo que se utilizará para garantizar la seguridad de los datos de la partición.Mantenimiento de softwareSoftware mínimo de instalaciónSe recomienda instalar únicamente los paquetes que va a utilizar, ya que cada parte de software en su computadora podría contener una vulnerabilidad. Si va a instalar desde el DVD aproveche la oportunidad de seleccionar exactamente los paquetes que desea instalar durante la instalación. Cuando necesite otro paquete, se podrá a?adir al sistema más adelante.Planeación y configuración de actualizaciones de seguridadTodo software contiene errores. Por lo general, dichos errores pueden resultar en una vulnerabilidad que puede exponer su sistema a usuarios malintencionados. Una causa común de intrusión son los sistemas no parcheados. Se debe tener un plan para instalar parches de seguridad en una forma oportuna para que esas vulnerabilidades no sean aprovechadas.Las actualizaciones de seguridad para usuarios domésticos deben instalarse tan pronto como sea posible. La configuración de instalación automática de actualizaciones de seguridad es una forma de evitar tener que recordar, pero se corre el leve riesgo de causar un conflicto con su configuración o con otro software en el sistema.Para usuarios domésticos o negocios, las actualizaciones se deben probar y programar para instalación. Los controles adicionales necesitarán usarse para proteger el sistema durante el tiempo entre el lanzamiento del parche y su instalación en el sistema. Estos controles dependen de la vulnerabilidad exacta, pero podrían incluir reglas de cortafuegos adicionales, el uso de cortafuegos externos o cambios en la configuración de softwareAjuste de actualizaciones automáticasLinux está configurado para aplicar todas las actualizaciones en una programación diaria. Si desea cambiar su instalación de actualizaciones del sistema debe hacerlo a través de '''Preferencias de actualización de software'''. Puede cambiar la programación, el tipo de actualizaciones a aplicar o notificarle sobre actualizaciones disponibles. En Gnome, puede encontrar controles para sus actualizaciones en: Sistema -> Preferencias -> Actualizaciones de software. En KDE se localiza en: Aplicaciones -> Configuración - > Actualizaciones de software.Instalación de paquetes firmados desde repositorios bien conocidosLos paquetes de software se publican a través de repositorios. Todos los repositorios conocidos admiten la firma de paquetes. El firmado de paquetes utiliza la tecnología de clave pública para comprobar que el paquete que fue publicado por el repositorio no se ha modificado desde que la firma fue aplicada. Así se proporciona una cierta protección contra las instalaciones de software que pueden haber sido alteradas maliciosamente después de la creación del paquete, pero antes de descargarlo. El uso de demasiados repositorios poco fiables, o repositorios de paquetes sin firma tiene un mayor iesgo de introducción de código malintencionado o vulnerable en el sistema. Tenga cuidado al a?adir repositorios para actualización de software o yumConfiguración de Seguridad en LinuxA continuación se presentarán algunos pasos para configurar correctamente un sistema Linux, teniendo en cuenta los aspectos más representativos del sistema operativo. Seguridad física del sistemaConfigurar el BIOS para deshabilitar el arranque por CD/DVD, dispositivos externos y diskettes. Después, habilitar la contrase?a del BIOS y proteger el archivo GRUB con contrase?a para restringir el acceso físico al sistema. Disco particionadoEs importante contar con diferentes particiones para conseguir mayor seguridad de los datos en caso de que algún desastre ocurra. Al crear diferentes particiones, los datos pueden ser separados o agrupados según su tipo. Cuando un accidente ocurre, solo los datos de la partición afectada deberán ser remplazados, mientras que los datos en otras particiones no se verán afectados.Es necesario tener las siguientes particiones e instalar todas las aplicaciones de terceros en la carpeta /opt//boot/usr/var/home/tmp/optMinimizar paquetes para minimizar vulnerabilidadesSe recomienda evitar instalar paquetes que no se utilizan para evitar las vulnerabilidades de esos paquetes. Esto minimiza el riesgo de que comprometan un servidor.Identifica y elimina los servicios y programas innecesarios en el servidor para minimizar vulnerabilidades. Utiliza el comando "chkconfig" para identificar los servicios que están corriendo en runlevel3# /sbin/chkconfig --list |grep '3:on'Una vez identificado el servicio incensario, es posible deshabilitarlo con el siguiente comando# chkconfig serviceName offUtiliza el adiestrador de paquetes RPM, yum o apt-get, para listar todos los paquetes instalados en el sistema y remover aquellos que no son necesarios con el siguiente comando:# yum -y remove package-name# sudo apt-get remove package-nameVerificar los puertos de red que escuchan conexionesCon la ayuda del comando "netstat" es posible listar todos los puertos abiertos y los programas que los utilizan. Es posible utilizar el comando "chkconfig" para deshabilitar todos los servicios de red no deseados en el sistema.# netstat -tulpnUtilizar Secure Shell (SSH)Los protocolos Telnet y rlogin utilizan texto plano para el envío de la información, en cambio, Secure Shell es un protocolo seguro ya que utiliza cifrado en todas las comunicaciones entre equipos.Nunca iniciar sesión directamente como root, a menos que sea sumamente necesario. Utiliza el comando "sudo" para ejecutar comandos que requieran permisos administrativos. Sudo está especificado en el archivo?/etc/sudoers/?y puede ser editado con el comando "visudo" a través de la interfaz del editor Vi.También se recomienda cambiar el puerto predeterminado para el protocolo SSH, puerto 22, a un puerto no convencional.Se recomienda modificar el archivo de configuración "/etc/ssh/sshd_config" con los siguientes parámetros para restringir el acceso a usuarios.Deshabilitar inicio de sesión de root: PermitRootLogin noPermitir solo usuarios específicos:AllowUsers usernameUtilizar versión 2 del protocolo SSH:Protocol 2Cambiar puerto para escuchar conexiones entrantesPort 50221?Mantener actualizado el sistemaSiempre se debe mantener actualizado el sistema y aplicar los parches, soluciones de seguridad y actualizaciones de kernel más recientes y tan pronto se encuentre encuentren disponibles.# yum updates# yum check-update# sudo apt-get update?Controlar las tareas programadasEl démon?cron?tiene una característica incluída en la cual se puede especificar los usuarios que pueden y no pueden ejecutar tareas programadas. Esto se controla con el uso de los archivos llamados?/etc/cron.allow?y?/etc/cron.deny. Para bloquear a un usuario, basta con a?adir su nombre de usuario en el archivo?cron.deny?y para permitir un usuario que ejecute tareas, se a?ade su nombre en el archivo?cron.allow.?Si se desea deshabilitar a todos los usuarios del uso de tareas, se a?ade la palabra?ALL?a una línea del archivo?cron.deny.# echo ALL >> /etc/cron.deny?8 Deshabilitar puertos USBMuchas veces pasa que se desea restringir a los usuarios para que no puedan conectar memorias USB en lo equipos, con la finalidad de proteger contra robo la información que almacenan. Para lograr esto, se debe crear el archivo?/etc/modprobe.d/no-usb?y agregarle la siguiente línea, con la cual no se detectarán dispositivos de almacenamiento por USB.install usb-storage /bin/true?9 Activar SELinuxEl módulo SELinux (Security Enhanced Linux o Seguridad Mejorada de Linux, en espa?ol) es un mecanismo de seguridad y control de acceso que se incluye en el kernel. Deshabilitar esta característica, significa quitar los mecanismos de seguridad del sistema. Piensa dos veces y de forma cuidadosa antes de quitarlo, incluso si tu equipo está conectado a Internet y provee servicios públicos.SELinux provee tres modos básico de operación:Enforcing (Restrictivo): Este es el modo habilitado por defecto y que habilita y aplica las políticas de seguridad en el equipo.Permissive (Permisivo): En este modo, SELinux no forzará el uso de políticas en el sistema, solo advertirá y registrará las acciones. Este modo es muy útil para la resolución de problemas relacionados con SELinux.Disabled (Deshabiltado): SELinux está apagado.Si SELinux está deshabilitado, se puede habilitar con el siguiente comando:# setenforce enforcing?Se puede saber el estado de SELinux desde la línea de comandos escribiendo los siguientes comandos:# sestatus# system-config-selinux# getenforce?Deshabilitar los escritorios gráficos KDE o GNOMENo existe la necesidad de ejecutar escritorios gráficos basados en X, como KDE o GNOME, dentro de un servidor de producción. Se pueden desinstalar o deshabilitar para aumentar la seguridad y rendimiento del servidor. Para hacerlo, únicamente edita el archivo?/etc/inittab?y ajusta el nivel de ejecución en 3. Si deseas quitarlo por completo, utilizar el siguiente comando:# yum groupremove "X Window System"# sudo apt-get remove --purge xserver-xorg?Deshabilitar IPv6Si no se utiliza ningún protocolo de IPv6 en el sistema, entonces de debería deshabilitar, puesto que ninguna de las aplicaciones, políticas y protocolos de IPv6 se requieren. Edita el archivo de configuración de red y a?ade las siguientes líneas para deshabilitarlo:NETWORKING_IPV6=noIPV6INIT=no?Evitar que los usuarios reutilicen contrase?asEsta es una medida muy útil en caso de que se requiera evitar que los usuarios reutilicen contrase?as viejas. Para lograrlo se debe utilizar el módulo de autenticación de usuarios?PAM?y el archivo?/etc/security/opasswd.En sistemas Red Hat Enterprise Linux, CentOS o Fedora se edita el archivo?/etc/pam.d/system-auth.?En sistemas Debian, Ubuntu o Linux Mint, editar el archivo?/etc/pam.d/common-password. En estos archivos se debe a?adir la siguiente línea a la sección?auth:auth ? ?sufficient ? ?pam_unix.so likeauth nullokTambién se debe agregar la siguiente línea a la sección?password?para evitar que un usuario reutilice las últimas 5 contrase?as usadas en el sistema:password ? ?sufficient ? ?pum_unix.so nullok use_authtok md5 shadow remember=5?Revisar el tiempo de validez de contrase?as de usuariosEn Linux, las contrase?as de los usuarios son almacenadas de forma cifrada en el archivo?/etc/shadow.?Para ajustar la fecha de expiración de la contrase?a de un usuario, se necesita utilizar el comando?chage.Para saber el tiempo de uso, vigencia o días desde el último cambio de contrase?a, se utiliza el comando:# chage -l nombre_de_usuarioAlgunas opciones del comando son:-M Para indicar el máximo número de días de vigencia de la contrase?a.-m Para indicar el mínimo número de días de vigencia de la contrase?a.-W Para indicar cuantos días antes de que la contrase?a expire, se mande una advertencia.?Bloqueo y desbloqueo manual de cuentasEsta característica es muy útil para evitar borrar cuentas de usuario, ya que sirve para especificar un periodo de tiempo en el cual se bloquearán las cuentas de usuario. Esto se realiza con el comando:# passwd -l nombre_de_usuarioPara desbloquear al usuario se utiliza el comando:# passwd -u nombre_de_usuarioCabe mencionar que si el usuario?root?inicia sesión como algún usuario bloqueado, si podrá iniciar sesión.?Uso de contrase?as segurasMuchos usuarios utilizan contrase?as débiles que pueden ser descubiertas por medio de un ataque de fuerza bruta. Para evitar el uso de contrase?as débiles, el módulo PAM contiene una funcionalidad llamada?pam_cracklib?que obliga al usuario a utilizar contrase?as fuertes y seguras. Para habilitarlo basta con a?adir al archivo?/etc/pam.d/system-auth?la siguiente directiva:/lb/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=1 ucredit=-2 dcredit=-2 ocredit=-1Las palabras reservadas significan:?lcredit = lower-case o minúsculasucredit = upper-case o mayúsculasdcredit = digitosother = otrosActivar Iptables (Firewall)Es altamente recomendable habilitar el firewall de Linux para evitar accesos no autorizados a nuestro equipo. Se deben aplicar reglas para direcciones IP origen y destino y puerto UDP o TCP para paquetes entrantes, salientes y redirigidos.?Deshabilitar Ctrl+Alt+Supr en el archivo /etc/inittabEn la mayoría de las distribuciones Linux, el presionar la combinación de teclas?ctrl+alt+supr?provocará un reinicio del sistema, por lo que no es muy recomendable tener habilitada dicha opción, específicamente en servidores de producción.Esta acción se define dentro del archivo?/etc/inittab?en una línea similar a la siguiente:# ca::ctrlaltdel:/sbin/shutdown -t 3 -r nowVerificar cuentas sin contrase?asCualquier cuenta de usuario con una contrase?a vacía significa una puerta abierta para acceso no autorizado desde cualquier parte del mundo. Se debe asegurar que todas las cuentas de usuario cuenten con contrase?as fuertes y seguras. Para revisar si existen cuentas con contrase?as vacías se puede utilizar el siguiente conjunto de comandos:# cat /etc/shadow | awk -F : '($2=="") {print $1}'Este comando obtendrá toda la lista de usuarios en el sistema y mostrará a aquellos que su contrase?a sea vacía.Mostrar mensaje de SSH antes de iniciar sesiónEs una buena práctica mostrar y contar con mensajes de seguridad o advertencias antes de realizar una autenticación por medio de SSH.Monitoreo de actividades del usuarioSi se tienen muchos usuarios en el sistema, es muy importante recolectar información de la actividad y procesos de cada usuario, para después poder analizar esa información en caso de problemas de rendimiento o seguridad. Existen dos herramientas muy útiles llamadas?psacct?y?acct que son utilizadas para monitorear los procesos y la actividad de los usuarios en el sistema. Estas herramientas se ejecutan en segundo plano y continuamente están registrando la actividad de los usuarios y los recursos del sistema que consumen servicios como Apache, MySQL, SSH, FTP, etc. ?Revisión de logs de forma regularReasigna las logs en un servidor dedicado de logs, esto podría evitar que los intrusos puedan modificar los logs locales. Los archivos de logs más comunes se encuentran en la ruta?/var/log/?y son:messages: Logs del sistemaauth.log: Logs de autenticación (Debian, Ubuntu, Linux Mint)kern.log: Logs del kernelcron.log: Logs del demonio crondmaillog: Logs del servidor de correo del sistemaboot.log: Logs del arranque del sistemamysqld.log: Logs del manejador de bases de datos, MySQLsecure: Logs de autenticación (Red Hat, Fedora, CentOS)utmp ó wtmp: Log de inicio de sesiónTener un respaldo de archivos importantesEsto en todo sistema pues un fallo del disco duro puede significar la pérdida de toda la información por lo que es recomendable realizar un respaldo de la información para los datos importantes.Mantener /boot como solo lecturaEl sector de arranque no debería ser modificado pues puede implicar que el sistema ya no funcione la próxima vez que se utilice. Por este motivo, tener esta carpeta como sólo lectura impide que se modifiquen los archivos de configuración ya sea por accidente o por algún malware.Implementación de Seguridad en AIXUtilice los recursos de seguridad que proporciona el sistema operativo para realizar estas tareas: por ejemplo, la herramienta SMIT (Systems Management Interface Tool) en?AIX?o el Gestor de administración del sistema en?HP-Itanium.Realice las siguientes acciones:Inicie la sesión en el sistema.En?AIX, debe iniciar la sesión como usuario root. En?Linux?y en otros sistemas?UNIX, el ID de usuario debe disponer de autorización root. Necesita este nivel de autorización para configurar los requisitos de seguridad para instalar el?componente de intermediario. A continuación, el producto lo puede instalar un usuario que no tenga privilegios root.Si utiliza un sistema?Linux en x86?o un sistema?Linux en x86-64?y no tiene planificado instalar el?componente de intermediario, continúe con el paso?4. De lo contrario, siga las políticas de seguridad locales para obtener autorización de usuario root; inicie la sesión como usuario root o inicie la sesión como otro usuario y conviértase en root.El uso de un ID de usuario que no sea el usuario root presenta algunas ventajas; proporciona un seguimiento de la actividad del ID de usuario que instala el producto y limita el ámbito de la autorización root a las tareas realizadas en una única sesión. El uso de un ID de usuario distinto de root también puede ser obligatorio, si se inicia la sesión desde un sistema remoto.Si piensa ejecutar la instalación como un usuario con autorización de usuario root, realice los pasos siguientes:Bajo la autorización de usuario root, la instalación crea automáticamente un grupo de seguridad denominado?mqbrkrs. Debe a?adir el ID de inicio de sesión de autorización de usuario root al grupo después de que se haya creado.Si ya ha instalado?WebSphere MQ?en este sistema, se definen un grupo llamado?mqm?un usuario llamado?mqm?. Si todavía no ha instalado?WebSphere MQ, debe crear este grupo y usuario.A?ada el ID de inicio de sesión de usuario con autorización root al grupo?mqm, junto con el ID de usuario?mqm.En algunos sistemas, debe terminar la sesión, e iniciarla de nuevo, para que se reconozcan estas nuevas definiciones de grupo (mqbrkrs?y?mqm).Si piensa ejecutar la instalación como un usuario sin autorización root, un usuario con autorización root debe completar los pasos siguientes antes de la instalación. Si ya tiene otras versiones de?WebSphere Message Broker?instaladas en el sistema, sólo debe realizar las subtareas c, e, f, h, i.Cree un grupo de seguridad denominado?mqbrkrs. Por ejemplo:Para sistemas no AIXsudo groupadd mqbrkrsPara?AIXsudo mkgroup mqbrkrsA?ada el ID de inicio de sesión de usuario de instalación no root al grupo después de que éste se haya creado.Si?WebSphere MQ?ya se ha instalado en este sistema, se definen un grupo denominado?mqm?y un usuario denominado?mqm. Si?WebSphere MQ?no se ha instalado, se deben crear el grupo y el usuario.A?ada el ID de inicio de sesión de usuario de instalación no root al grupo?mqm, junto con el ID de usuario?mqm.Si no existe, cree el directorio?/var/mqsi. Por ejemplo: se escribesudo mkdir /var/mqsiAsegúrese de que se han establecido la propiedad y los permisos de acceso correctos para el directorio?/var/mqsi. Por ejemplo: se escribesudo chown mqm:mqbrkrs /var/mqsisudo chmod 775 /var/mqsiSi el directorio ya existe, ejecute el mandato de forma recurrente:sudo chown -R mqm:mqbrkrs /var/mqsisudo chmod -R ug+rwX /var/mqsiSi varios usuarios van a crear y utilizar varios intermediarios, establezca el ID de grupo del directorio?/var/mqsi?para que los nuevos archivos y directorios hereden el mismo ID de grupo. De lo contrario, un intermediario creado por?Usuario1, con el grupo primario?Usuario1, será accesible para?Usuario2?(con el grupo primario?Usuario2). Por ejemplo:sudo chmod g+s /var/mqsiSi el intermediario ya existe, ejecute el mandato de forma recurrente: find /var/mqsi -type f -exec chmod g+s {} \;Si existe el archivo?/var/mqsi/install.properties, asegúrese de que el ID de usuario de instalación no root tenga acceso de escritura al mismo. Por ejemplo:sudo chmod 664 /var/mqsi/install.propertiesSi no existen, cree los directorios?/opt/ibm/mqsi?y?/opt/ibm/IE02?para?Linux?o?/opt/IBM/mqsi?y?/opt/ibm/IE02?para?UNIX. Por ejemplo:Para?Linuxsudo mkdir /opt/ibm/mqsisudo mkdir /opt/ibm/IE02Para?UNIXsudo mkdir /opt/IBM/mqsisudo mkdir /opt/ibm/IE02Asegúrese de que se asigna la propiedad correcta al directorio?mqsi, junto con los permisos de acceso a los directorios?mqsi?y?IE02. Por ejemplo:Para?Linuxsudo chown mqm:mqbrkrs /opt/ibm/mqsisudo chmod 775 /opt/ibm/mqsisudo chmod 775 /opt/ibm/IE02Para?UNIXsudo chown mqm:mqbrkrs /opt/IBM/mqsisudo chmod 775 /opt/IBM/mqsisudo chmod 775 /opt/ibm/IE02Si hay quedan registros de una instalación anterior de?WebSphere Message Broker?o IE02 deberá suprimirlos o renombrarlos, ya que el programa de instalación puede no tener el permiso correcto para sustituirlos. Los registros en cuestión pueden encontrarse en el directorio?/var/mqsi?y tienen el tipo de archivo?.log.Si establece la variable IATEMPDIR, asegúrese de que el ID de usuario no root tenga permiso de escritura al directorio que elija. Por ejemplo:sudo chmod 775 /tmp/IATEMPSe proporcionan procedimientos de verificación para?Linux en x86?y para?Linux en x86-64. Para realizar la verificación no necesita autorización de usuario root. Si desea instalar con autorización de usuario root, pero no desea realizar la verificación con autorización de usuario root, termine la sesión cuando finalice la instalación. Inicie la sesión con el mismo ID de usuario o con otro diferente, pero no se convierta en root.Si inicia la sesión con otro usuario ID, y aún no ha a?adido dicho ID a los grupos?mqbrkrs?y?mqm, hágalo antes de abrir?WebSphere Message Broker?Toolkit.ConclusionesUNIX y sus derivados, ya sea GNU/Linux, MacOS o Android, cuentan con bastantes mecanimos de seguridad a disposición de los usuarios, algunos bastante sofisticados, lo cual permite una correcta configuración de protocolos de seguridad. Sin embargo, al igual de los demás sistemas, también es vulnerable y cuenta con bastantes riesgos de seguridad. Estos problemas no son de Unix, sino que radican en las personas que estan detras del sistema operativo, generalmente administradores y usuarios de cualquier categor?a. Unix ofrece los mecanismos suficientes como para conseguir un nivel de seguridad mas que aceptable, pero los usuarios muchas veces no llegan a saber aprovecharlos. Es necesario la concienciación de que estos problemas existen y son reales, los cuales pueden implicar severos fallos de seguridad. Luego es muy importante una formación adecuada hacia las personas que van a administrar los sistemas para que se encuentren correctamente informados de la importancia de la seguridad informática.Bibliografía 6: CLOUD COMPUTINGCloud Computing ha revolucionado cómo se procesa la información, proporcionando una solución escalable, rentable y eficiente plataforma tecnológica. A partir de una tecnología desde el punto de vista de la gestión, cloud computing ofrece potencia y mayor capacidad de almacenamiento de computación a un costo menor. Un estudio de investigación de mercado de medios indica que se espera que el mercado de la computación en nube global crecerá a un 30% tasa compuesta de crecimiento anual (CAGR) de llegar a $ 270 mil millones en 2020. Cloud Computing es una arquitectura informática bajo demanda, es pago por uso que proporciona recursos de computación como los servicios a través de Internet. Esta tecnología proporciona una infraestructura pre configurada a un menor costo y permite a los usuarios utilizar los recursos de software o hardware que son propiedad y administrados por un proveedor de servicios cloud (CSP) en ubicaciones remotas. Los tres modelos de servicios disponibles en la tecnología de nube son el software como servicio (SaaS), infraestructura como servicio (IaaS) y Plataforma como servicio (PaaS). Mediante el uso de servicios en la nube, las empresas pueden eliminar los riesgos y costos involucrados con la instalación y la gestión de la infraestructura de TI tradicional.CaracterísticasLas cinco características de Cloud Computing son la demanda de auto-servicio en sitio, el acceso a la red mundial, la agrupación de recursos independiente de la ubicación, elasticidad rápida, y pago por uso. Entornos de nube se pueden clasificar en cuatro modelos de despliegue: privado, público, híbrido y nube comunitaria.Cinco características esenciales de la computación en nubeLa demanda de autoservicio: En demanda de autoservicio se refiere a los servicios prestados por los proveedores de cloud computing que permite la provisión de recursos de la nube en la demanda cada vez que se le pide. El usuario puede escalar la infraestructura necesaria hasta un nivel sustancial sin interrumpir las operaciones de acogida.Acceso a la red: En la tecnología de nube, el acceso y las capacidades de la red están disponibles a través de un navegador web, y se puede acceder a través de dispositivos estándar, tales como teléfonos celulares, tabletas, ordenadores portátiles y estaciones de trabajo.Agrupación de recursos: Se necesita de recursos informáticos fuertes, tales como máquinas virtuales, ancho de banda, memoria, dispositivos de almacenamiento y potencia de procesamiento se asignan dinámicamente y asignados a múltiples clientes usando un modelo multi-inquilino. Como se trata de una tecnología independiente de la ubicación, el cliente no tiene ningún control ni información sobre la ubicación exacta de los recursos dados. Sin embargo, la información sobre la ubicación está disponible a un nivel más alto de abstracción.Elasticidad rápido: En función de la demanda del cliente, servicios en la nube pueden ser rápida y elásticamente aprovisionado y escalar hacia arriba o hacia abajo en cualquier momento.El servicio medido: servicios y recursos de computación en la nube se pueden medir de forma automática, controladas y monitoreadas. Por lo tanto, se asegura la transparencia tanto para el proveedor y el consumidor en cuanto a la naturaleza y grado de los servicios utilizados. la tecnología de nube utiliza una función de medición que es útil a los clientes a controlar y optimizar el uso de recursos. Es similar a un modelo de pago por uso, como se ha visto con las facturas de electricidad o de agua municipal.Modelo de Servicio SaaS (Software como un Servicio)SaaS se puede definir como un modelo de prestación de servicios que ofrece aplicaciones de TI a los usuarios finales a través de Internet. De acuerdo con Paul et, el modelo SaaS es análogo a un modelo cliente-servidor, excepto que el servidor se sustituye por los recursos se puede acceder a través de los navegadores web (HTTP / HTTPS). El usuario accede a la aplicación a través de una interfaz de navegador, pero no tiene acceso a la arquitectura subyacente, como la red, servidores, sistemas operativos y de almacenamiento. En las distribuciones de software tradicionales, los usuarios deben comprar e instalar el software en su ordenador personal. En el modelo SaaS, el CSP controla diferentes capas de aplicación, incluyendo hardware, sistema operativo, middleware y aplicación. El usuario sólo tiene acceso a la aplicación seleccionada la CSP. El proveedor de la nube hace que una instancia de la aplicación, y el cliente se conecta y usa la aplicación a través de una API. Sólo los CSP pueden configurar, actualizar y gestionar las operaciones de la aplicación y acceder a los archivos de registroModelo de servicio IaaS (Infraestructura como Servicio)El modelo IaaS ayuda a los clientes a modernizar y ampliar sus capacidades de TI sin tener que gastar los recursos de capital en infraestructura. IaaS puede ser considerada como la primera capa y la base del modelo de servicio de computación en la nube, proporcionando una plataforma de infraestructura de computación que incluye espacio en el servidor virtual, ancho de banda, conexiones de red, las direcciones IP y los equilibradores de carga. El cliente puede acceder a estos componentes para construir sus propias plataformas. El PSC asegura los servicios de infraestructura y todos los demás relacionados con el mantenimiento de estos servicios. En IaaS, el CSP asigna recursos como máquinas virtuales (VM) y es controlado por el monitor de la máquina hipervisor o virtual (VMM). El CSP supervisa los hipervisores y clientes alquilar el acceso al sistema operativo invitado que se ejecuta en una máquina virtual determinada.IaaS ofrece las opciones de gestión de la mayoría en comparación con otros modelos mediante la sustitución de - IT sitio infraestructura, especialmente de almacenamiento, servidores y redes, y poner estos servicios en una nube accesible de forma remota. Con IaaS, el cliente no tenga que controlar o gestionar las capas subyacentes, pero tiene control sobre los sistemas operativos, almacenamiento y aplicaciones implementadas. Las principales ventajas de IaaS son escalabilidad, pay-as-you-go de fijación de precios, independencia de la ubicación, seguridad física de las ubicaciones de los centros de datos, y ningún punto único de falloLas seis capas de un entorno de nube IaaS incluyen la aplicación huésped / capa de datos, sistema operativo huésped, virtualización, sistema operativo anfitrión, hardware física y de capa de red. En IaaS, el control administrativo del cliente es sólo en la capa 5 (OS huésped) y la capa 6 (aplicación huésped).Modelo de servicio PaaS (Plataforma como Servicio)Las compa?ías de software son los principales usuarios de PaaS para organizar y desarrollar sus aplicaciones de software. Los productores de software necesitan plataformas como servidores físicos, bases de datos y servidores de Internet para ejecutar sus productos. En un modelo tradicional, la empresa tiene que pasar mucho tiempo y mano de obra para construir su propia plataforma para hacer funcionar las aplicaciones de software y también requiere la administración continua. PaaS permite al usuario alquilar sistemas operativos, hardware, almacenamiento y capacidad de la red en la red. En el modelo de servicio PaaS, el cliente alquila un conjunto de herramientas para desarrollar su propia plataforma para desplegar aplicaciones. Proveedores de PaaS dan acceso a los diferentes conjuntos de bloques de construcción de software para crear nuevas aplicaciones. El cliente tiene acceso total a las capas superiores y la capa de aplicación.PaaS permite a los desarrolladores para mejorar y cambiar las funciones del sistema operativo. Los principales beneficios de PaaS más de los modelos tradicionales de desarrollo y despliegue de aplicaciones son servidor y los gastos generales de almacenamiento, ancho de banda de red, mantenimiento de software, personal de apoyo y los requisitos de calificación más bajos. Cualquier cambio significativo en la infraestructura aumenta el presupuesto de TI y requiere entrenamiento laboral, cambios en los procesos de negocios y más de atención al cliente. Modelos de servicio PaaS puede no ser una solución completa para todas las aplicaciones dentro de una empresa. La estandarización de la plataforma puede traer más desafíos y limitaciones en la programación de un nuevo sistema para soportar funciones de automatización y multi-tenencia. PaaS puede no ser una buena opción cuando una aplicación necesita personalización para el software o hardware subyacente. En PaaS, los archivos de configuración y de ajustes son críticos y cualquier modificación o cambios en la configuración de un adversario pueden afectar a todo el entorno de la nube. Al igual que en SaaS, PaaS también tiene restricciones en el control de la infraestructura subyacente. No hay ninguna posibilidad de acceso que no sea a nivel de aplicación y el control de usuario. Prevención de intrusiones de red está bajo el control del proveedor de la nube. Desde PaaS es una arquitectura orientada a servicios, los problemas de seguridad relacionados con SOA tales como ataques man-in-the-middle, ataques DoS, ataques relacionados con XML, y los ataques de inyección son los desafíos de seguridad más importantes. API públicas PaaS utilizados para ofrecer la funcionalidad de administración y el usuario deben estar asegurados con la aplicación y los controles [27, 28] estándar. PaaS también tiene restricciones en el control de la infraestructura subyacente. No hay ninguna posibilidad de acceso que no sea a nivel de aplicación y el control de usuario. Prevención de intrusiones de red está bajo el control del proveedor de la nube. Desde PaaS es una arquitectura orientada a servicios, los problemas de seguridad relacionados con SOA tales como ataques man-in-the-middle, ataques DoS, ataques relacionados con XML, y los ataques de inyección son los desafíos de seguridad más importantes. API públicas PaaS utilizados para ofrecer la funcionalidad de administración y el usuario deben estar asegurados con la aplicación y los controles [27, 28] estándar. PaaS también tiene restricciones en el control de la infraestructura subyacente.CONCLUSI?N La computación en nube ofrece una solución fácil, flexible y rentable para las necesidades siempre cambiantes de. Sin embargo, incluso con los enormes beneficios de la computación en la nube, muchas organizaciones no se atreven a adoptar esta tecnología debido a preocupaciones de seguridad. La creciente demanda de servicios de tecnología de la nube requiere alta seguridad para mantener la confidencialidad, integridad y disponibilidad de los datos y recursos informáticos. En este trabajo se ha analizado retos y soluciones de seguridad de la nube desde la perspectiva de los servicios IaaS, SaaS y PaaS. La búsqueda de soluciones viables seguridad en la nube se encuentra todavía en su infancia. Con base en el análisis, se recomienda que los CSP tomar más medidas para garantizar la seguridad en la nube mediante la aplicación de tecnologías avanzadas para guardar registro de eventos y la creación de APIs robustas que serán útiles para los clientes en el mantenimiento de un entorno seguro tanto en el proveedor y el consumidor extremos del espectro .WEB 2.0Evolucionado de las prácticas tradicionales de la web, y muy influenciado por la economía orientada al consumidor, Web 2.0 es una arquitectura enfocada al usuario final. Ha sido impulsado por la explosión de la información y la comunicación que trasciende las fronteras geográficas, de interconexión y culturales. El número de versión familiar en el término Web 2.0 denota una evolución en la que la web en lugar del escritorio es la plataforma dominante.La arquitectura transforma a las personas que usan la Web en activos. Contribuyentes, personalización de medios y tecnología. Contenido y participación en el dise?o y programación web.En su mayor parte, la arquitectura Web 2.0 se basa en las tecnologías existentes que a menudo se mezclan con emergentes. Algunas de las principales características y las tecnologías incluyen:?AJAX?Really Simple Syndication (RSS)?Backend Databases?Multi-tier software architecture?Site Maps?Folksonomy and Web ClassificationoWeb TaggingoSocial Bookmarking?Mashups?Weblogs?Wikis?Users as ProgrammersProblemas conocidos de seguridad y fiabilidad en la Web 2.0Navegadores web son capaces de realizar operaciones de redes complejas al intentar mostrar una página en la pantalla del usuario. Estas capacidades están siendo capitalizadas por los sitios Web 2.0 para ofrecer la experiencia de usuario más rica de Internet. También se abren muchas puertas y ventanas para los hackers que se filtre a través y obtener acceso no autorizado a la facilidad de uso y los datos comerciales sensibles. En las siguientes secciones examinamos y discutimos brevemente algunas de las vulnerabilidades conocidas, métodos de ataque, y problemas de fiabilidad relativos a la Web 2.0.Arquitectura sin garantía Las aplicaciones Web 2.0 están siendo desarrollados y desplegados en una arquitectura web no segura que es causado principalmente por el modelo de seguridad débil en el lado del cliente y los patrones de dise?o en Web 2.0 aplicaciones. Ejecución del lado del cliente implica tres capas distintas: secuencia de comandos, de aplicación y del sistema operativo. Scripts se ejecutan en el contexto de la aplicación host, por lo general el navegador, que se ejecuta en el contexto del sistema operativo (OS). Autenticación, control de acceso y otros problemas de seguridad son manejados por el sistema operativo dando la apariencia de fiabilidad. Sin embargo, un examen minucioso descubre un defecto importante. Cuando el usuario inicia el navegador, el sistema operativo considera que es una aplicación de confianza. Secuencias que se ejecutan dentro del navegador son tratados por el sistema operativo como una parte integral de la aplicación, y reciben un nivel de confianza similar.Baja fiabilidad por parte del usuario: La cultura de la participación de la Web 2.0 implica la integración de los contenidos generados por los usuarios en los sitios web. Cualquiera podía subir contenido, incluyendo hackers, spammers, y las personas con malas intenciones. No es raro encontrar a menos que útil contenido dise?ado específicamente para atraer tráfico y páginas fue posicionado en los motores de búsqueda para obtener ganancias financieras. Parece que ya está dudosa calidad es también muy extendida [9, 1]. Tres causas principales de estos contenidos poco fiables pueden ser citadas. En primer lugar es la falta de calificación, lo que fomenta el contenido de cualquier calidad que se publicará a lo largo de la de alta calidad que proporciona un incentivo para que los explotadores. En segundo lugar, es la falta de filtrado de los administradores de servicios web. Filtrado de contenidos basado en la calidad requiere recursos humanos masivos y es a menudo económicamente injustificada. La tercera causa de contenido no fiable es la tolerancia del usuario. Los usuarios toleran contenido de baja calidad ya que la información en la web es gratuita, accesible, y desechable.Marcaje y marcadores sociales spam Los spammers se aprovechan de la popularidad y los sistemas de clasificación de los sitios de marcadores sociales para lograr ganancias personales. Mediante la creación de numerosas cuentas, que pueden fabricar popularidad por un marcador o una etiqueta. También pueden etiquetar el marcador para el sitio con una serie de etiquetas populares que no necesariamente estar relacionados con el sitio. Como resultado, cada vez que la etiqueta se busca, el marcador para el sitio de spam se mostrará. Las mismas técnicas utilizadas por los spammers también son utilizadas por los piratas informáticos para atraer a los usuarios confiados a sitios maliciosos.El mismo origen de la pol Escapatorias: La política de mismo origen (SOP) es una medida clave de seguridad impuesta por los desarrolladores del navegador de Internet para proteger los datos y scripts de una página del acceso de otra página que viene de un origen diferente. Pero hay excepciones: ?Etiquetas tales como <Script> y se les permite <Image> para hacer referencia a contenido de otros dominios.?Sólo se considera el camino de dominio, no subdirectorios.?No se aplica a los contenidos alojados. La mayoría de las excepciones fueron creadas por el dise?o de ampliar el uso del navegador y proporcionar funcionalidad, que permite a un sitio web para proporcionar contenido de múltiples dominios. Las excepciones están también disponibles para los hackers para explotar. Cross Site Scripting y Cross Site Request Falsificación, explican a continuación, son ejemplos de tales haza?as.Cross Site Request Falsificación Cross-Site Request Falsificación (CSRF) es un exploit en el que el hacker se basa en las vulnerabilidades tanto en el navegador y el sitio de destino. El navegador incluye automáticamente con peticiones a un sitio de las credenciales asociadas, incluida la cookie del usuario de la sesión, la dirección IP, las credenciales de dominio, etc. Se lleva a cabo independientemente de si la solicitud se genera en el ordenador del usuario [13]. Los hackers podrían disfrazar las solicitudes en virtud de etiquetas falsas, o incrustarlos en <image> o <iframe> etiquetas. Aplicaciones web vulnerables a menudo llevan a cabo acciones en respuesta a las peticiones y dependen de credenciales guardadas en el lado del cliente sin la verificación secundariaCross Site Scripting: cross-site scripting (XSS o CSS) es un tipo de ataque en el que el autor tiene éxito en la ejecución de un script en el navegador del usuario que hace que parezca como si el guión está viniendo de una confianza sitio web [2]. Cada ataque es la medida para un sitio web en particular, pero los ordenadores de los usuarios son a menudo los vehículos para lograrlo, y se convierten en totalmente expuesta al agresor en el proceso [14]. A medida que el script se ejecuta en el navegador del usuario, tanto en la escritura del atacante y el atacante tiene acceso a todo el equipo del usuario según lo permitido por el contexto de seguridad aplicada [26]. La accesibilidad se puede extender al sistema de archivos, funciones del sistema operativo, y las capacidades de comunicación en el ordenador del usuario.RSS, blogs y wikis: Sindicación script malicioso RSS, blogs y wikis son formas populares de compartir y distribuir contenido en el mundo de la Web 2.0 [16]. También se han convertido en una parte clave de los sistemas de gestión del conocimiento muchas de las corporaciones [24]. El intercambio de masa y distribución de contenido también se aplica a los atacantes y usuarios maliciosos [2]. Lo usan para la masa distribuir y compartir código malicioso, y explotar los usuarios debido a la arquitectura del navegador de secuencias de comandos sin garantía. Si un autor tiene éxito en inyectar un contenido malicioso en un feed RSS, blog, wiki, o una red social, que podría llegar fácilmente a las masas. El gusano Samy es un ejemplo [26]. La combinación de la distribución masiva de contenidos, arquitectura sin garantía, y la incapacidad para detectar secuencias de comandos que se ejecutan en el contexto del navegador crea el ambiente perfecto para los atacantes a los medios de distribuir sus scripts maliciosos.CONCLUSI?N En este artículo revisamos los problemas conocidos relacionados con la seguridad y fiabilidad en el entorno Web 2.0. a continuación, inspeccionamos y describen brevemente algunas de las mejores prácticas de la industria, las salvaguardias y las precauciones que podrían ser tomadas por los desarrolladores y usuarios por igual, y concluimos con algunas recomendaciones para mejorar las condiciones de seguridad en la Web 2.0 y mejorar su fiabilidad. La afirmación de algunos de que la Web 2.0 no introduce nuevas amenazas o problemas técnicos se encuentra para ser válida. Sin embargo, la Web 2.0 cultura de intercambio y la participación de todo el mundo sirve como canal de distribución masiva de código malicioso y contenido. Lo hace sin ofrecer a los usuarios y desarrolladores por igual una protección real en muchos casos - que utiliza las viejas tecnologías sin garantía, pero en una escala masiva. Se espera que este documentoWEB 3.0Web 3.0 y la Web Semántica se utilizan como sinónimos; el término Web 3.0 fue acu?ado por John Markoff del New York Times y la Web Semántica por Tim Berners-Lee en 2006 F 1 F, el “inventor” de La red mundial. Si bien hay muchos que se refieren a particulares “versiones '' de la Web - 1.0, 2.0, 3.0 y sí, hay un 4.0, la Web simbióticos - algunos consideran la Web Semántica, ya que sólo un componente de la mayor esquema de la funcionalidad de la Web 3.0. Independientemente del término, hay un conjunto de propiedades y atributos entre los dos que son generalmente acordada en este más robusto, “pensar” Web.La Web Semántica el Internet no sólo es legible por humanos, pero para las máquinas. Si bien podemos discutir la pertinencia de diferenciar Internet en versiones, es la metamorfosis de los atributos de la Internet que es de mayor importancia. Cuando estas nuevas funciones, muchos resultante de un mash-up de las tecnologías, cambiar el comportamiento de los ordenadores, la forma en que tratan a los datos y la información y cómo se relaciona y se a?ade contexto a la mezcla, es fundamental que la información y del sistema due?os presten atención los impactos y riesgos en el horizonte.BIBLIOGRAF?A Freet and Rajeev Agrawal. 2016. An overview of architectural and security considerations for named data networking (NDN). In <em>Proceedings of the 8th International Conference on Management of Digital EcoSystems</em> (MEDES). ACM, New York, NY, USA, 52-57. DOI: Yu, Nakia Powell, Dexter Stembridge, and Xiaohong Yuan. 2012. Cloud computing and security challenges. In <em>Proceedings of the 50th Annual Southeast Regional Conference</em> (ACM-SE '12). ACM, New York, NY, USA, 298-302. DOI: A. Noureddine and Meledath Damodaran. 2008. Security in web 2.0 application development. In Proceedings of the 10th International Conference on Information Integration and Web-based Applications & Services (iiWAS '08), Gabriele Kotsis, David Taniar, Eric Pardede, and Ismail Khalil (Eds.). ACM, New York, NY, USA, 681-685. DOI= ................
................
In order to avoid copyright disputes, this page is only a partial summary.
To fulfill the demand for quickly locating and searching documents.
It is intelligent file search solution for home and business.
Related searches
- minecraft pe education edition recipes
- minecraft pe education edition all recipes
- https www municipalonlinepayments
- why pe is important
- reasons why pe is important
- mcc tool chest pe tutorial
- minecraft pe download for pc
- mcctoolchest pe download
- easy pe games for kindergarten
- why is pe class important
- why pe is not important
- why is pe so important